堆棧內存溢出
  簡體   English   中英

從 SQL 表中獲取散列字符串時出現 PHP PDO 錯誤

[英]PHP PDO Error when fetching hashed strings from SQL table

 原文  2016-09-14 00:04:14       php/ mysql/ sql-server/ mysqli/ pdo

問題描述

當我將MySQLi更改為PDO ,從我的users表中獲取散列字符串時遇到錯誤。

這是我之前使用的代碼:

CheckPassword使用MYSQLI驗證有效

$mysqli = new mysqli("localhost","_USER_","_PASS_","_DB_");

$username = '_USERNAME_';
$pass = '_PASSWORD_';
$sql = "SELECT * FROM `users` WHERE username='$username' LIMIT 1";
$result = $mysqli->query($sql);
if($assoc = $result->fetch_assoc()){
    $db_pass = $assoc['userpass'];

    require 'PasswordHash.php';
    $hash_cost_log2 = 8;
    $hash_portable = FALSE;
    $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

    if($hasher->CheckPassword($pass, $db_pass)) {
       echo "valid"; // VERIFIES VALID
    } else {
       echo "invalid";
   }
}

我切換到PDO的原因是為了防止SQL 注入

但現在: CheckPassword VERIFIES INVALID USING PDO

$pdo = new PDO('mysql:dbname=_DB_;host=localhost', '_USER_', '_PASS_',
array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION));

$username = '_USERNAME_';
$pass = '_PASSWORD_';
$stmt = $pdo->prepare('SELECT * FROM `users` WHERE username = :u LIMIT 1');
$stmt->bindParam(':u', $username);
$stmt->execute();
if($fetch = $stmt->fetch(PDO::FETCH_ASSOC)){
    $db_pass = $fetch['userpass'];

    require 'PasswordHash.php';
    $hash_cost_log2 = 8;
    $hash_portable = FALSE;
    $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

    if($hasher->CheckPassword($pass, $db_pass)) {
       echo "valid";
    } else {
       echo "invalid"; // VERIFIES INVALID
   }
}
}

怎么會這樣; MySQLi獲取與PDO不同的散列字符串 無論何種加密我使用散列密碼,使用取當它不能驗證他們作為真正的PDO使用只讀取時MySQLi

1 個解決方案

解決方案1
 0  2016-09-14 00:16:36

原因是因為當你比較用戶輸入的密碼和數據庫中的密碼時,不同的是,用戶輸入的登錄他的帳戶的密碼不是散列的,而數據庫中的密碼是散列的,所以我們需要一個散列輸入的通行證並使用數據庫中已散列的通行證對其進行驗證的方法。 怎么做 ? 這里

這是我在控制面板中使用的代碼示例:

 <?php 

   // connect to your database

    if(isset($_POST['btn-login']))
        {

            $User_name = $_POST['userlogin'];
            $password_user = $_POST['pass'];

            $FetchUserData = $conn->prepare("SELECT * FROM users WHERE userlogin = ?");
            $FetchUserData->execute(array($User_name));
            $FetchedData = $FetchUserData->fetch(PDO::FETCH_ASSOC);

            if ($FetchedData)
                    {
                        $password = $FetchedData['userpassword']; // Save the fetched password inside variable 
                        $isPasswordCorrect = password_verify($password_user, $password); 

                        if( $password_user == $isPasswordCorrect )
                            {
                                $_SESSION['login_user']=$User_name;
                                header("location: home.php");
                            }
                        else 
                            {
                                echo "Password is wrong":
                            }

                    }
            else
                {
                    echo "User is not exist ";
                }
        }
?>

此代碼行是用於將輸入的傳遞與數據庫中的存在傳遞散列的代碼:

$isPasswordCorrect = password_verify($password_user, $password);

小解釋:

password_verify(parameterA,parameterB)

  • parameterA :您希望對其進行驗證的密碼。

  • 參數B:您希望使用它進行驗證的密碼。(存儲在數據庫中的數據庫)

希望這個回答對你有幫助。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 更新成員表 PDO php 時出現 SQL 錯誤 提取結果時出現PDO錯誤 PDO SQLSRV和PDO MySQL在獲取int或float時返回字符串 使用SQL從表中獲取行時出錯 PHP登錄沒有錯誤,但哈希時密碼不相等 使用PHP PDO很難從sql查詢中獲取數據 PHP PDO SQL將兩個字符串連接在一起 如何在SQL中使用PHP中的PDO從子表中獲取信息? PHP PDO提取結果 PHP PDO獲取對象
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM