加密密码后,验证功能不佳。
提问于 2017-03-29 20:59:18
现在我使用这段代码在数据库上加密我的密码,它在登录或验证时起作用。
但它只适用于前7个字符。
假设我的密码是miow12345,但我可以输入miow123或miow12312q.登录
$pas = crypt($_POST["pas"], "MiO1!"); validation.php
if(isset($_POST['username']))
{
$username = $_POST['username'];
}
if (isset($_POST['password']))
{
$password=crypt($_POST["password"], "MiO1!");
}
$q = 'SELECT * FROM users WHERE username=:username AND password=:password';
$query = $dbh->prepare($q);
$query->execute(array(':username' => $username, ':password' => $password));
if($query->rowCount() == 0)
{
header('Location: login.php?err=1');
}另一种方法(同样的问题)
if( crypt($_POST["pas"], "TmP2!") != $row["password"])
回答 2
Stack Overflow用户
回答已采纳
发布于 2017-03-29 23:04:58
PHP的crypt函数只使用前8个字符,即通过设计(http://php.net/manual/en/function.crypt.php)。
在数据库中存储密码时,应该使用password_hash,并使用password_verify将其与用户输入的密码进行比较:
if (password_verify($_POST["pas"], $row["password"]))(这段代码现在不适用于您,因为您的DB中有crypt-hashed密码,所以您必须使用password_hash重新对其进行散列)
Stack Overflow用户
发布于 2017-03-29 21:07:22
问题是,这里的代码是错误的,$password=crypt($_POST["password"], "MiO1!");,它将返回一组不同的字符串。正确使用的是has_equals函数。下面是php文档提供的示例。
if (hash_equals($hashed_password, crypt($user_input, $hashed_password))) {
//your query here;}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/43108889
复制相关文章
![mpvue小程序单个页面添加config配置[设置标题、下拉刷新、颜色等]](https://ask.qcloudimg.com/raw/yehe-fbd3d4418/53k4bgxajj.png)
点击加载更多
腾讯云开发者
