我正在尝试从SHA1切换到bCrypt以获取密码。注册正在工作,但我的登录有问题。有人能帮我吗?
这就是我所拥有的,但它不起作用。
$SQLCheckLogin = $odb -> prepare("SELECT COUNT(*) FROM users WHERE username = :username AND password = :password");
$passwordverified = password_verify($password);
$SQLCheckLogin -> execute(array(':username' => $username, ':password' => $passwordverified));
$countLogin = $SQLCheckLogin -> fetchColumn(0);
password_verify函数
function password_verify($password, $hash) {
if (!function_exists('crypt')) {
trigger_error("Crypt must be loaded for password_verify to function", E_USER_WARNING);
return false;
}
$ret = crypt($password, $hash);
if (!is_string($ret) || strlen($ret) != strlen($hash) || strlen($ret) <= 13) {
return false;
}
$status = 0;
for ($i = 0; $i < strlen($ret); $i++) {
$status |= (ord($ret[$i]) ^ ord($hash[$i]));
}
return $status === 0;
}
查看官方文档中的示例:password_verify。
该函数接受两个参数:
- 用户提供的(纯文本)密码
- 数据库中的哈希密码
其流程为:
- 根据用户名/电子邮件地址/任何标识符从数据库中检索用户密码哈希
- 使用
password_verify
验证密码
所以你的代码应该是这样的:
$SQLCheckLogin = $odb -> prepare("SELECT password FROM users WHERE username = :username");
$SQLCheckLogin -> execute(array(':username' => $username));
$hash = $SQLCheckLogin->fetchColumn(0);
if ($hash === false || !password_verify($password, $hash)) {
// you should handle this proper
die('Failed login');
}
echo 'Logged in';
请注意,您还应该检查是否需要更新哈希。创建password_*
API时考虑到了前向兼容性。这意味着,当PHP中出现更好/更安全的哈希算法时,您可以(也应该)自动更新"旧"密码。
此功能为password_needs_rehash
,用于检查密码是否需要更新:
$SQLCheckLogin = $odb -> prepare("SELECT password FROM users WHERE username = :username");
$SQLCheckLogin -> execute(array(':username' => $username));
$hash = $SQLCheckLogin->fetchColumn(0);
if ($hash === false || !password_verify($password, $hash)) {
// you should handle this proper
die('Failed login');
}
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 14])) {
$SQLUpdateLogin = $odb -> prepare("UPDATE users SET password = :password WHERE username = :username");
$SQLUpdateLogin -> execute(array(
':username' => $username,
':password' => password_hash($password, PASSWORD_DEFAULT, ['cost' => 14]),
));
}
echo 'Logged in';