无法使用数据库中的加密密码登录

Question

我可以使用md5加密密码，只需将其包装即可-

$Password = md5($_POST['password']);

用户注册后，已加密的密码将成功存储在数据库中。 但是，当我想使用纯文本密码登录时，它决定也不会。 我该如何解决这个问题？

<?php

if(isset($_POST['btnlogin'])) {

$Email = $_POST['email'];
$Password = $_POST['password'];



$Email = mysqli_real_escape_string($connection, $Email);
$Password = mysqli_real_escape_string($connection, $Password);

$query ="SELECT * FROM customers WHERE Email = '{$Email}' AND Password =   '{$Password}'";


$select_customer_query = mysqli_query($connection, $query);

if (!$select_customer_query)

die("QUERY FAILED". mysqli_error($connection));

}

while($row = mysqli_fetch_array($select_customer_query)) {

$Email_db = $row['Email'];
$Password_db = $row['Password'];
$Firstname_db = $row['First_Name'];
$Lastname_db = $row['Last_Name'];
$string ="logged in as";
$logoutlink = '/ <a href="includes/back/logout.php">Logout</a>';



} 


if ($Email_db == $Email || $Password_db == $Password  ) {


header("Location: ../../index.php");



$_SESSION['FirstName'] = $Firstname_db;
$_SESSION['LastName'] = $Lastname_db;
$_SESSION['string'] = $string;
$_SESSION['logoutlink'] = $logoutlink;


} 


?>

Answer 1

您在比较之前忘记了md5()密码，则需要比较md5()版本：

$Password = md5($_POST['password']);

当前，您正在比较$Password_db == $Password

$Password = $_POST['password']; //Not md5() hashed
$Password_db = $row['Password']; //md5() hashed

提示，您不应该使用md5()因为它不安全。

Answer 2

为了确保安全，您将需要一个看起来像这样的工作流，而不是正在做什么：

1. 从给定客户的数据库中获取用户ID和密码哈希。
2. 如果password_verify($password, $storedHash)继续。

不要将密码检查外包给SELECT查询。 不要存储纯文本密码。 不要使用MD5进行密码保护。 不要调用MD5加密。

推荐阅读：

• 如何安全存储用户密码 （使用password_hash()和password_verify() ）
• 如何防止SQL注入 （使用准备好的语句）
• 正确的密码学术语 （MD5不是加密算法）

Answer 3

在这一行：

$Password = $_POST['password'];

需要更改为：

$Password = md5($_POST['password']);

因为您需要比较加密密码。