好的,所以下面的所有代码都不是我自己的。我一直在关注互联网上的教程,但是当我尝试运行它时,似乎没有密码匹配。我相信加盐密码可能存在错误,因为数据库中的内容远不及登录.php脚本中描述的 64 个字符。我不知道。代码如下:
注册.php
// Create a 256 bit (64 characters) long random salt
// Let's add 'something random' and the username
// to the salt as well for added security
$salt = hash('sha256', uniqid(mt_rand(), true) . 'something random' . strtolower($username));
// Prefix the password with the salt
$hash = $salt . $password;
// Hash the salted password a bunch of times
for ( $i = 0; $i < 100000; $i ++ )
{
$hash = hash('sha256', $hash);
}
// Prefix the hash with the salt so we can find it back later
$hash = $salt . $hash;
// carry on with registration code...
登录.php
$email = $_POST['email'];
$password = $_POST['password'];
$con = mysql_connect("localhost", "redacted", "redacted", "redacted");
$sql = '
SELECT
`password`
FROM `users`
WHERE `email` = "' . mysql_real_escape_string($email) . '"
LIMIT 1
;';
$r = mysql_fetch_assoc(mysql_query($sql));
// The first 64 characters of the hash is the salt
$salt = substr($r['password'], 0, 64);
$hash = $salt . $password;
// Hash the password as we did before
for ( $i = 0; $i < 100000; $i ++ )
{
$hash = hash('sha256', $hash);
}
$hash = $salt . $hash;
if ( $hash == $r['password'] )
{
session_start();
header('Location: /quiz/index.php');
}
if( $hash != $r['password'] ){
session_start();
header('Location: /?error=4');
}
// end login script
一个常见的错误是数据库字段不够长,无法存储所有字符。然后,密码将永远不会等于用户输入的密码。
对于此类功能,请始终编写单元测试来检查函数(仍然)是否按预期工作。总有一天有人会修改数据库,改变哈希算法,修改盐......没有人能够登录。
看起来您要添加盐 2 次:
$hash = $salt . $password;
// Hash the password as we did before
for ( $i = 0; $i < 100000; $i ++ )
{
$hash = hash('sha256', $hash);
}
//skip the below one
$hash = $salt . $hash;
更新:
事实上,在这种情况下,需要添加盐 2 次。
虽然,盐应该保存在单独的 db 列中,所以代码会更加简化 - 通过避免存储/检索盐的所有字符串串联。
除此之外,通过将每条信息存储在单独的插槽中,您的数据库结构将更接近第三范式。