[英]How to change a SALT password in a database using PHP?
我正在使用从android到一些php脚本的HTTP POST,以更新数据库中的用户密码。
我使用的SALT哈希与用户创建帐户且数据库更新正在运行并更改SALT的值时使用的SALT哈希相同,但是,当我尝试使用新密码登录时,它是不正确的。
创建密码的初始代码为:
public function storeUser($name, $email, $password, $rand) {
$uuid = uniqid('', true);
$hash = $this->hashSSHA($password);
$encrypted_password = $hash["encrypted"]; // encrypted password
$salt = $hash["salt"]; // salt
$auth = 0;
$result = mysql_query("INSERT INTO users(unique_id, authorized, auth_code, name, email, encrypted_password, salt, created_at) VALUES('$uuid', '$auth', '$rand', '$name', '$email', '$encrypted_password', '$salt', NOW())");
// check for successful store
if ($result) {
// get user details
$uid = mysql_insert_id(); // last inserted id
$result = mysql_query("SELECT * FROM users WHERE uid = $uid");
// return user details
return mysql_fetch_array($result);
} else {
return false;
}
}
哈希函数是:
/**
* Encrypting password
* @param password
* returns salt and encrypted password
*/
public function hashSSHA($password) {
$salt = sha1(rand());
$salt = substr($salt, 0, 10);
$encrypted = base64_encode(sha1($password . $salt, true) . $salt);
$hash = array("salt" => $salt, "encrypted" => $encrypted);
return $hash;
}
/**
* Decrypting password
* @param salt, password
* returns hash string
*/
public function checkhashSSHA($salt, $password) {
$hash = base64_encode(sha1($password . $salt, true) . $salt);
return $hash;
}
最后是更新功能(问题出在哪里):
/**
* Updating a users
* password
*/
public function updatePassword($email, $password) {
$uuid = uniqid('', true);
$hash = $this->hashSSHA($password);
$encrypted_password = $hash["encrypted"]; // encrypted password
$salt = $hash["salt"]; // salt
$result = mysql_query("UPDATE users SET encrypted_password='$encrypted_password', updated_at = NOW() WHERE email='$email'");
$result = mysql_query("UPDATE users SET salt='$salt', updated_at = NOW() WHERE email='$email'");
// check for successful store
if ($result) {
// get user details
$uid = mysql_insert_id(); // last inserted id
$result = mysql_query("SELECT * FROM users WHERE email = '$email'");
// return user details
return mysql_fetch_array($result);
} else {
return false;
}
}
一如既往的任何帮助,我们将不胜感激。
编辑:
登录功能要求:
/**
* Get user by email and password
*/
public function getUserByEmailAndPassword($email, $password) {
$result = mysql_query("SELECT * FROM users WHERE email = '$email'") or die(mysql_error());
// check for result
$no_of_rows = mysql_num_rows($result);
if ($no_of_rows > 0) {
$result = mysql_fetch_array($result);
$salt = $result['salt'];
$encrypted_password = $result['encrypted_password'];
$hash = $this->checkhashSSHA($salt, $password);
// check for password equality
if ($encrypted_password == $hash) {
// user authentication details are correct
return $result;
}
} else {
// user not found
return false;
}
}
您建立了一个弱方案来对密码进行哈希处理,这是因为您使用了SHA1的单个迭代作为哈希函数,并且由于盐值被截断为10个字符,并且是通过加密不安全的rand()
函数生成的。 然后,将盐储存在单独的区域中会使您的生活变得比必要的更加艰难。
在您的情况下,我强烈建议您使用PHP的新函数password_hash()和password_verify()获得强大的BCrypt哈希。 它们负责安全随机盐的生成,结果字符串包含哈希值和盐,因此您可以将其存储在数据库的单个字段中。 存在用于早期PHP版本的兼容性包 。
使用此功能的最简单方法是:
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);
回答您的问题:我看不出为什么它不起作用的明显原因,通常问题是数据库字段太短。 在您的情况下,您需要放置添加了10个字符的盐的二进制SHA1,该盐以base64_encoded编码(难以预测所需的大小)。 将SHA1中的二进制字符串(空字节)与普通字符串组合在一起也可能很危险。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.