password_verify() 函数被警告为未定义常量

【问题标题】:password_verify() function warned as undefined constantpassword_verify() 函数被警告为未定义常量
【发布时间】:2018-05-26 20:38:32
【问题描述】:

我最近使用了一种登录格式,该格式使用$password = md5(password_1) 将密码存储在数据库中下面的完整代码...

然后将其更改为$password = (password_hash($password_1, PASSWORD_DEFAULT); 下面的完整代码....

它成功地在我的数据库中保存了一个哈希密码,例如:$2y$10$.FTJmF/47NbmQMU3nZGTZeKAHYZ8TBm8X2Jc.TLbAIK...

现在验证密码是哪里出了问题, 原始代码是$password = md5($password_1),它将成功登录,并将 md5 存储在第一个代码中。 我把它改成了$password = password_verify($password_1, PASSWORD_DEFUALT);

但这给了我这个错误。

我试过$hash = password_verify($password_1, PASSWORD_DEFAULT ); 但它给了我同样的错误,

 <?php

session_start();

// initializing variables
$username = "";
$email    = "";
$errors = array(); 

// connect to the database
$db = mysqli_connect('', '', '', '');

// REGISTER USER
if (isset($_POST['reg_user'])) {
  // receive all input values from the form
  $username = mysqli_real_escape_string($db, $_POST['username']);
  $email = mysqli_real_escape_string($db, $_POST['email']);
  $password_1 = mysqli_real_escape_string($db, $_POST['password_1']);
  $password_2 = mysqli_real_escape_string($db, $_POST['password_2']);

  // form validation: ensure that the form is correctly filled ...
  // by adding (array_push()) corresponding error unto $errors array
  if (empty($username)) { array_push($errors, "Username is required"); }
  if (empty($email)) { array_push($errors, "Email is required"); }
  if (empty($password_1)) { array_push($errors, "Password is required"); }
  if ($password_1 != $password_2) {
    array_push($errors, "The two passwords do not match");
  }

  // first check the database to make sure 
  // a user does not already exist with the same username and/or email
  $user_check_query = "SELECT * FROM loginsystem WHERE username='$username' OR email='$email' LIMIT 1";
  $result = mysqli_query($db, $user_check_query);
  $user = mysqli_fetch_assoc($result);

  if ($user) { // if user exists
    if ($user['username'] === $username) {
      array_push($errors, "Username already exists");
    }

    if ($user['email'] === $email) {
      array_push($errors, "email already exists");
    }
  }

  // Finally, register user if there are no errors in the form
  if (count($errors) == 0) {
  //Hashing the password
  $password = password_hash($password_1, PASSWORD_DEFAULT);//encrypt the password before saving in the database

    $query = "INSERT INTO loginsystem (username, email, password) 
              VALUES('$username', '$email', '$password')";
    mysqli_query($db, $query);
    $_SESSION['username'] = $username;
    $_SESSION['success'] = "You are now logged in";
    header('location: home.php');
  }
}

// ... 
// ... 

// LOGIN USER
if (isset($_POST['login_user'])) {
  $username = mysqli_real_escape_string($db, $_POST['username']);
  $password = mysqli_real_escape_string($db, $_POST['password_1']);

  if (empty($username)) {
    array_push($errors, "Username is required");
  }
  if (empty($password)) {
    array_push($errors, "Password is required");
  }

  if (count($errors) == 0)  $password = password_verify($password, PASSWORD_DEFAULT); {
    $query = "SELECT * FROM loginsystem WHERE username='$username' AND password='$password'";
    $results = mysqli_query($db, $query);
    if (mysqli_num_rows($results) == 1) {
      $_SESSION['username'] = $username;
      $_SESSION['success'] = "You are now logged in";
      header('location: index.php');
    }else {
        array_push($errors, "Wrong username/password combination");
    }
  }
}

?>

【问题讨论】:

  • password_verify 的函数参数错误,使用如下: bool password_verify ( string $password , string $hash )
  • 您只能在从数据库中获取哈希后验证密码。
  • 我认为这就是这个函数在做什么,从数据库中获取它。 (php和web开发新手等)

标签: php hashcode


【解决方案1】:

除了错别字还有两个问题:

1stpassword_verify() 有不同的参数:输入的密码和来自数据库的散列密码。

这就引出了第二个问题
您只能在从数据库中获取哈希后验证密码。 因此,首先获取该哈希(通过单独查询用户名),而不是验证。

$query = "SELECT username, email, password FROM loginsystem WHERE username='$username'";
$results = mysqli_query($db, $query);
if (mysqli_num_rows($results) == 1) {
    $row = mysqli_fetch_assoc($results);
    if(password_verify($password, $row['password'])) {
        // password correct!
    } else {
        // nope
    }
} else {
    // wrong credentials
}

您还应该更改为prepared statements,因为这现在可能容易受到 sql 注入的攻击。

【讨论】:

  • 投了赞成票,解决了这个问题。感谢您澄清代码的实际位置。
  • 不客气! ...但你没有投票。如果它解决了您的问题,您可以接受答案!
  • 我的次数少于 15rep,这可能是它不会出现的原因。
【解决方案2】:

PASSWORD_DEFUALT 拼写错误。它应该是PASSWORD_DEFAULT,如下例所示:

$hash = password_hash($password, PASSWORD_DEFAULT);

[...]

if (password_verify($password, $hash)) {
    // Password matches
}

password_verify的第一个参数是用户输入的密码。第二个参数是password_hash生成的存储hash。

【讨论】:

  • 消除了未定义的常量错误,但“未定义的变量:密码_1”错误仍然出现。顺便说一句,谢谢。
  • 我已经修复了,每当我修复了你的更正时,仍然是同样的错误
  • 运气好能找到错误吗?消息消失了,但我每次都输入错误的密码。
  • password_verify的第一个参数是用户输入的密码。第二个参数是存储在数据库中的哈希(由password_hash生成)。
  • 这将是 $password="$password_1, PASSWORD_DEFAULT");如果是这样,如果我错了,那就给我纠正我,但最终给我一个未定义的变量错误
猜你喜欢
  • 2020-03-09
  • 1970-01-01
  • 2019-01-14
  • 2015-11-14
  • 2014-07-21
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode