PHP password_verify() 似乎不起作用

Question

我一直在研究 PHP 中的password_hash()和password_verify()方法，並且我一直試圖將其包含在我的代碼中。 我似乎無法讓它工作，我已經經歷了一系列的谷歌搜索，甚至還有一些關於 SO 的問題，但他們似乎沒有解決這個問題。

我在數據庫中的列長度是 255。當我嘗試運行代碼時，我收到$loginerror消息。 這是我的代碼塊。 請問我做錯了什么。

$signin_email=$_POST['signin_email'];
$signin_password=$_POST['signin_password'];

if($valid){
    require_once 'scripts/connect_to_mysql.php';
    $sql = "SELECT First_name, Last_name,Password FROM customer WHERE Email=? AND Password=? LIMIT 1";
    $stmt=$conn->prepare($sql);//preparing the statement
    if(!$stmt){
        echo "Unable to prepare: ".$conn->errno. " " .$conn->error;
    }
    //executing the statement
    //$date=date('d m Y h:i:s');
    if(!$stmt->bind_param('ss', $signin_email, $signin_password)){//bind parameters to sql statement. i=integer, s=string, b=blob, d=double 
        echo "Binding parameters failed: ".$stmt->errno. " " . $stmt->error;
    }
    if(!$stmt->execute()){//executing the statement
        echo "Statement Execution failed: ". $stmt->error;
    }
    if(!$stmt->bind_result($dbfirstname,$dblastname,$dbpassword)){// used to bind variables to a prepared statement for result storage
        echo "Unable to bind results to variables: ".$stmt->error;
    }
    $stmt->store_result();
    //echo $stmt->num_rows;
    echo $dbpassword;
    if(password_verify($signin_password, $dbpassword)){
        if($stmt->num_rows===1){//to check if username and password actually exists
            while($row=$stmt->fetch()){
                $user=$dbfirstname. " ". $dblastname;
                echo $user;
            }

            /*$_SESSION['user']=$user;
            header('location:logintest.php');
            exit();*/
        }
    }
    else{
        //$error="Invalid Email address/Password. Please try again";
        $loginerror= "Invalid Email address/Password. Please try again";
    }

    $stmt->close();//closing the prepared statement
    $conn->close();//closing the connection
}

Answer 1

問題不在於password_verify而在於您構建查詢的方式：

`$sql ="SELECT First_name, Last_name,Password FROM customer WHERE Email=? AND Password=? LIMIT 1";

您將$signin_password綁定到該查詢，它不包含來自$_POST散列值。

有2種解決方案：

1) 刪除AND Password=? 從您的查詢中 - 您將使用password_verify檢查您的password_verify

2) 將$signin_password更改為：

$signin_password=password_hash($_POST['signin_password']);

（但這種使用 password_verify 的方式是無關緊要的。

Answer 2

$signin_password=$_POST['signin_password'];

$hash = password_hash($dbpassword, PASSWORD_DEFAULT);

if (password_verify($signin_password, $hash)) 

 {

   echo 'Password is valid!';

 } 

 else 

 {

   echo 'Invalid password.';

 }

試試這個:) 更好的選擇是構建你自己的查詢。