从 MySQL 数据库中提取散列用户名

Question

我正在做一个项目，其中用户名和密码都需要使用 Argon2 进行哈希处理。我在注册和将它们插入数据库时​​都没有遇到任何问题，但我无法提取登录信息。这是我的登录脚本：

<?php  session_start(); ?>
<?php
include 'config.php';
if(isset($_POST['submit'])){
$submittedUser = $_POST['username'];
$submittedPass = $_POST['password'];
$encrypteduser = password_hash($submittedUser, PASSWORD_ARGON2I);

$con=mysqli_connect($servername, $dbusername, $dbpassword, $dbname);
// Check connection
if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
if ($stmt = mysqli_prepare($con, "SELECT * FROM users Where username =?")) {
                    mysqli_stmt_bind_param($stmt, "s", $encrypteduser);
                    mysqli_stmt_execute($stmt);
                    $result = mysqli_stmt_get_result($stmt);
}

while($row = mysqli_fetch_array($result))
{
$username = $row['username'];
$password = $row['password'];
}
if (password_verify($submittedUser, $username) && password_verify($submittedPass, $password))
{
$_SESSION['user']=$username; 

echo "<script> location.href='index.php'; </script>";
        exit;   
}
else
{
 echo "<script> location.href='login.php'; </script>";
        exit;   
}
mysqli_close($con);
}
?>

我目前的理论是生成并存储在$encrypteduser 中的哈希与数据库中的不匹配。这可以解释为什么没有结果被拉出来。有没有办法解决这个问题？

Answer 1

这不加密，它散列：

$encrypteduser = password_hash($submittedUser, PASSWORD_ARGON2I);

也就是说，这是一种方式。您（理论上）永远无法从中获取原始文本。每次运行它也会产生不同的结果。因此，您将永远无法运行带有WHERE 子句的查询来挑选一个匹配的用户。相反，您必须遍历系统中的每个用户，对每个用户运行 password_verify()。

所以...不要那样做。将用户名保留为纯文本，以便您可以从数据库索引中受益。

Answer 2

您想要做的事情无法完成，因为清楚地存储用户名正是您可以确定需要验证的确切凭据（即表格行）的原因。

想象一下你还是尝试了。您想验证john.doe。您必须循环每个存储的用户名哈希，获取相应的盐，以便您可以使用john.doe 和当前行盐计算哈希，然后比较两个用户名哈希。如果没有匹配，请转到下一行...直到您最终获得匹配并最终确定要检查的密码哈希。所有这一切，都使用了专门设计为慢的算法。去图吧。