最受欢迎

使用bCrypt登录PHP

PHP Login with bCrypt

本文关键字:PHP 登录 bCrypt 使用 | 更新日期: 2023-09-27

我正在尝试从SHA1切换到bCrypt以获取密码。注册正在工作,但我的登录有问题。有人能帮我吗?

这就是我所拥有的,但它不起作用。

$SQLCheckLogin = $odb -> prepare("SELECT COUNT(*) FROM users WHERE username = :username AND password = :password"); 
$passwordverified = password_verify($password);
$SQLCheckLogin -> execute(array(':username' => $username, ':password' => $passwordverified));
$countLogin = $SQLCheckLogin -> fetchColumn(0);

password_verify函数

function password_verify($password, $hash) {
    if (!function_exists('crypt')) {
        trigger_error("Crypt must be loaded for password_verify to function", E_USER_WARNING);
        return false;
    }
    $ret = crypt($password, $hash);
    if (!is_string($ret) || strlen($ret) != strlen($hash) || strlen($ret) <= 13) {
        return false;
    }
    $status = 0;
    for ($i = 0; $i < strlen($ret); $i++) {
        $status |= (ord($ret[$i]) ^ ord($hash[$i]));
    }
    return $status === 0;
}

查看官方文档中的示例:password_verify。

该函数接受两个参数:

  1. 用户提供的(纯文本)密码
  2. 数据库中的哈希密码

其流程为:

  1. 根据用户名/电子邮件地址/任何标识符从数据库中检索用户密码哈希
  2. 使用password_verify验证密码

所以你的代码应该是这样的:

$SQLCheckLogin = $odb -> prepare("SELECT password FROM users WHERE username = :username"); 
$SQLCheckLogin -> execute(array(':username' => $username));
$hash = $SQLCheckLogin->fetchColumn(0);
if ($hash === false || !password_verify($password, $hash)) {
    // you should handle this proper
    die('Failed login');
}
echo 'Logged in';

请注意,您还应该检查是否需要更新哈希。创建password_* API时考虑到了前向兼容性。这意味着,当PHP中出现更好/更安全的哈希算法时,您可以(也应该)自动更新"旧"密码。

此功能为password_needs_rehash,用于检查密码是否需要更新:

$SQLCheckLogin = $odb -> prepare("SELECT password FROM users WHERE username = :username"); 
$SQLCheckLogin -> execute(array(':username' => $username));
$hash = $SQLCheckLogin->fetchColumn(0);
if ($hash === false || !password_verify($password, $hash)) {
    // you should handle this proper
    die('Failed login');
}
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 14])) {
    $SQLUpdateLogin = $odb -> prepare("UPDATE users SET password = :password WHERE username = :username"); 
    $SQLUpdateLogin -> execute(array(
        ':username' => $username,
        ':password' => password_hash($password, PASSWORD_DEFAULT, ['cost' => 14]),
    ));
}
echo 'Logged in';
相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习