如何检查用户是否键入了正确的密码才能登录?
这是(在一堆组合......中)我正在做的事情:
正如我从输出中看到的那样,有点不对劲mysql_result,但我找不到正确的方法.
有人可以请帮助.
我看到你在数据库中存储密码的哈希值,但为了其他读者的利益,永远不要在数据库中以明文形式存储密码.你不想像Monster.com.uk!
你应该使用更强的散列函数MD5().理想情况下,您应该使用SHA256.这个哈希方法在PHP中可以使用该hash()函数.
您还应该在密码中应用随机盐.为每个用户的帐户存储不同的盐值.这有助于打败字典攻击和彩虹表攻击.
你应该学会使用mysqli扩展而不是旧的mysql扩展.Mysqli支持参数化查询,因此您可以减少某些SQL注入攻击的漏洞.
这是一些示例代码.我没有测试过它,但它应该非常接近工作:
$input_login = $_POST['login'];
$input_password = $_POST['password'];
$stmt = $mysqli->prepare("SELECT password, salt FROM customer WHERE login = ?");
$stmt->bind_param("s", $input_login);
$stmt->execute();
$stmt->bind_result($password_hash, $salt);
while ($stmt->fetch()) {
$input_password_hash = hash('sha256', $input_password . $salt);
if ($input_password_hash == $password_hash) {
return true;
}
// You may want to log failed password attempts here,
// for security auditing or to lock an account with
// too many attempts within a short time.
}
$stmt->close();
// No rows matched $input_login, or else password did not match
return false;
其他人建议查询应该测试,login = ? AND password = ?但我不喜欢这样做.如果这样做,您无法知道查找是否因为登录不存在而失败,或者因为用户提供了错误的密码.
当然,您不应向用户透露导致登录尝试失败的原因,但您可能需要知道,因此您可以记录可疑活动.
@Javier在他的回答中说你不应该从数据库中检索密码(或者在这种情况下是密码哈希).我不同意.
Javier显示调用md5()PHP代码并将生成的哈希字符串发送到数据库.但这并不支持轻松保存密码.在PHP中执行哈希之前,您必须执行单独的查询来检索此用户的salt.
另一种方法是通过网络从您的PHP应用程序向数据库服务器发送明文密码.任何窃听您网络的人都可以看到此密码.如果您记录了SQL查询,那么获得日志访问权限的任何人都可以看到密码.有动力的黑客甚至可以通过垃圾箱潜水查找旧的文件系统备份媒体,并可能以这种方式读取日志文件!
风险较小的是从数据库中将密码哈希字符串提取到PHP应用程序中,将其与用户输入的哈希值(也在PHP代码中)进行比较,然后丢弃这些变量.
京公网安备 11010802040832号 | 京ICP备19059560号-6 