我仍在使用"PHP and SQL for Dummies 4th edition"。我现在遇到的问题是,如果我应该尝试使用正确的密码登录,我被告知密码不正确,这发生在我通过 PHP web 文件添加的所有记录上。我通过phpmyadmin添加的记录工作正常(删除加密语句后),我可以在提供正确的密码后访问登录页面。我怀疑问题将来自加密,因为phpmyadmin中的密码列包含所有内容的相同密文("d41d8cd98f00b204e98009")(除了通过phpmyadmin输入的记录,它没有任何加密)。我将包括包含加密的代码部分,也许任何人都可以发现其中的任何错误。在检查数据库中的匹配项之前加密输入的密码的代码:
if($num > 0) //login name was found
{
$sql = "SELECT loginName FROM Member
WHERE loginName='$_POST[fusername]'
AND password=md5('$_POST[fpassword]')";
$result2 = mysqli_query($cxn,$sql)
or die("Query died: fpassword");
$num2 = mysqli_num_rows($result2);
if($num2 > 0) //password matches
{
$_SESSION['auth']="yes";
$_SESSION['logname'] = $_POST['fusername'];
$sql = "INSERT INTO Login (loginName,loginTime)
VALUES ('$_SESSION[logname]',NOW())";
$result = mysqli_query($cxn,$sql)
or die("Query died: insert");
header("Location: New_memberpage.php");
}
在将新注册用户的密码发送到数据库之前对其进行加密的代码:
else // Add new member to database
{
$sql = "INSERT INTO Member (loginName,createDate,
password,firstName,lastName,street,city,
state,zip,phone,fax,email) VALUES
('$loginName',NOW(),md5('$password'),
'$firstName','$lastName','$street','$city',
'$state','$zip','$phone','$fax','$email')";
mysqli_query($cxn,$sql);
$_SESSION['auth']="yes";
$_SESSION['logname'] = $loginName;
我的挑战总结是用户名/密码登录方法只有在我通过phpmyadmin添加时才能很好地工作。我想在通过网站注册时使其正常工作,为什么即使我为所有密文输入了不同的密码,数据库的密码列中的所有密文都是相同的?
d41d8cd98f00b204e9800998ecf8427e
是空字符串的MD5哈希。所以这里似乎有两点不对劲:
-
密码未正确传递给 SQL 查询。它最终什么也没做。
-
您的密码列不够宽,无法存储整个哈希。
但是,更重要的是,您遵循的教程存在一些问题:
-
它教你使用"mysql"扩展。此扩展已弃用,在 PHP 的未来版本中将不可用。"mysqli"和"PDO"扩展更可取,因为它们将来将继续可用,并且它们支持重要的安全功能,例如准备好的查询和参数占位符。
它 似乎并没有教你引用传递给MySQL查询的值(或者它希望你依赖
magic_quotes
,这更糟)。这可能会在应用程序中引入严重的安全漏洞。它指示您将
md5()
用作密码哈希。这不是存储密码的安全方法;优选的方法是较新的password_hash()
/password_verify()
函数集。有关更多信息,请参阅 PHP 关于密码哈希的常见问题解答。
我强烈建议您找到更新的参考文本。您正在使用的那个明显过时了。
我在程序中发现了错误。我使用相同的变量名称"密码"连接到我的数据库(带有空引号)。使用主机、用户名和数据库声明的密码覆盖了我表中的密码。我将所有连接"密码"更改为"passwrd",并且能够在数据库中查看密码。感谢您的所有回复,至少我现在知道 md5 对于敏感数据不是很安全。所有变量名称必须始终使用不同的标识符!