我正在使用下面的函数。当我注册一个用户时,散列似乎可以正常工作。当我尝试登录时,散列不匹配。它有正确的散列,加上额外的散列。
怎么了?
function salt($pass){
$salt = 'hello';
return hash('sha512', $pass.$salt);
}
function valid_credentials($user,$pass) {
$user = mysql_real_escape_string($user);
$pass = salt($pass);
$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '{$pass}' ");
return (mysql_result($total, 0) == '1' ) ? true : false;
}
function add_user($user, $pass) {
$user = mysql_real_escape_string(htmlentities($user));
$pass = salt($pass);
$time = now();
mysql_query("INSERT INTO `users` ( user_name, password, date_created ) VALUES ( '{$user}', '{$pass}', '{$time}' )");
}
我认为在您的验证代码中这一行:
$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '{$pass}' ");
需要更改为类似的内容:
$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '".$pass."' ");
现在,它似乎正在检查密码列是否等于"{$pass}"。
只需仔细检查在将值插入db表之前和之后返回的值。使用修剪功能进行回声处理。或者使用strcmp检查插入到数据库中的值与生成的值。