password_hash、password_verify、MySQL 的误解？

Question

我似乎无法让这个测试显示来自数据库的散列密码。它可以很好地显示表单中的密码。尝试进行此测试以找出为什么我无法从表单中验证密码与存储在数据库中的密码相比。我读到了一些关于转义散列中的 $ 符号的内容，但我不确定如何使用我正在使用的代码来做到这一点。不管怎样，有些事情是不对的。任何帮助将不胜感激！

require('../connect.php');
$username = $_POST['username-sign-in'];
$password = $_POST['password-sign-in'];
$hashedpassword = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
if (empty($username)) {
    echo 'Please enter your username.';
    exit();
}
if (empty($password)) {
    echo 'Please enter your password.';
    exit();
}
if (isset($username, $password)) {
    $getuser = $connection->prepare('SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?');
    $getuser->bind_param('ss', $username, $hashedpassword);
    $getuser->execute();
    $userdata = $getuser->get_result();
    $row = $userdata->fetch_array(MYSQLI_ASSOC);
    echo 'Password from form: ' . $hashedpassword . '<br />';
    echo 'Password from DB: ' . $row['password'] . '<br />';
    if (password_verify($row['password'], $hashedpassword)) {
        echo 'Success.';
        exit();
    }
    else {
        echo 'Fail.';
        exit();
    }
}
else {
    echo 'Please enter your username and password.';
    $connection->close();
    exit();
}

Answer 1

您是否尝试过更改单引号，例如 ':

$getuser = $connection->prepare('SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?');
$getuser->bind_param('ss', $username, $hashedpassword);

像"这样的双引号

$getuser = $connection->prepare("SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?");
$getuser->bind_param("ss", $username, $hashedpassword);

另外，你为什么要匹配password？也许这适用于您的测试用例：

$getuser = $connection->prepare("SELECT `username`, `password` FROM `users` WHERE `username` = ?");
$getuser->bind_param("s", $username);

编辑此外，您在进行检查时实际上是对密码进行双重哈希处理：

if (password_verify($row['password'], $hashedpassword)) {

只需这样做：

if (password_verify($password, $row['password'])) {

问题在于password_verify 的语法为：

boolean password_verify ( string $password , string $hash )

您需要在第一个参数中发送普通/非散列密码，然后将散列值放在第二个参数中。试试看。

Answer 2

您不能对输入进行哈希处理，然后在数据库中对其进行查询，因为哈希每次都会使用不同的随机盐。所以你可以对同一个密码进行一千次哈希运算，得到 1000 个不同的结果。

您只需在数据库中查询与用户名相关的记录，然后将数据库返回的密码哈希与使用password_verify()的输入密码进行比较。

此外，在创建密码时（使用password_hash()）最初将哈希写入数据库时​​，无需转义哈希。 password_hash()在密码验证过程中完全没有使用。

Answer 3

快速浏览一下这些函数，您似乎把测试弄错了。

您应该将密码的散列版本存储在数据库中，然后将其与通过 $_POST 提供的密码进行比较.. 然后剩下的就可以了..

$getuser = $connection->prepare('SELECT `password` 
                                        FROM `users` WHERE `username` = ?');
$getuser->bind_param('s', $username);
$getuser->execute();
$userdata = $getuser->get_result();
$row = $userdata->fetch_array(MYSQLI_ASSOC);
echo 'Password from form: ' . $hashedpassword . '<br />';
echo 'Password from DB: ' . $row['password'] . '<br />';
if (password_verify($password, $row['password'])) {
    // $password being $_POST['password-sign-in']
    // $row['password'] being the hashed password saved in the database
    echo 'Success.';
    exit();
} else {
    echo 'Fail.';
    exit();
}

Answer 4

问题通常是当您对表单中的用户输入进行哈希处理时，它会被哈希处理，就好像它有双引号一样。这就是为什么您看到哈希以 $2y$10 开头的原因……我认为您应该从这一点尝试解决它。如果您要给出答案，请考虑这个