Maison >développement back-end >tutoriel php >Pourquoi la vérification du mot de passe PHP échoue-t-elle en cas d'incompatibilité de hachage de mot de passe ?

Pourquoi la vérification du mot de passe PHP échoue-t-elle en cas d'incompatibilité de hachage de mot de passe ?

Linda Hamilton
Linda Hamiltonoriginal
2024-10-21 07:04:02697parcourir

Why does PHP password verification fail with a password hash mismatch?

PHP password_hash(), password_verify()

Dans votre script d'inscription, vous hachez correctement le mot de passe en utilisant password_hash() et le stockez dans la base de données. Cependant, lors de la vérification du mot de passe lors de la connexion à l'aide de password_verify(), vous rencontrez une incompatibilité.

L'extrait que vous avez fourni montre que le mot de passe stocké dans la base de données est haché (commençant par "$2y$10$") , alors que le mot de passe saisi par l'utilisateur est en texte brut (string(1) "1"). Le problème réside dans la façon dont vous récupérez le mot de passe de la base de données.

Dans le script de connexion, vous récupérez la colonne du mot de passe directement à partir du résultat de la base de données sans aucun autre traitement. Cependant, le mot de passe stocké est haché et il doit être déhaché avant de pouvoir être comparé au mot de passe en texte brut saisi par l'utilisateur à l'aide de password_verify().

Solution :

Dans le script de connexion, avant d'utiliser password_verify(), vous devez récupérer le mot de passe haché stocké dans la base de données, puis le déhacher à l'aide de la fonction password_hash() avec l'algorithme PASSWORD_DEFAULT. Voici le code corrigé pour le script de connexion :

<code class="php">// ...same code as before...

$stored_hash = $row['password']; // Retrieve the stored hashed password
if (password_verify($pwd, $stored_hash)) {
    // ...same code as before...
}</code>

Cette modification garantit que le mot de passe stocké dans la base de données est correctement non haché avant d'être comparé au mot de passe en texte brut saisi par l'utilisateur, permettant à password_verify() de fonctionner correctement.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn