为什么我的加盐密码身份验证在我的 MySQL 数据库中不起作用？-php教程-PHP中文网

首页

后端开发

php教程

为什么我的加盐密码身份验证在我的 MySQL 数据库中不起作用？

Susan Sarandon

Nov 13, 2024 am 10:03 AM

Why is my salted password authentication not working in my MySQL database?

如何使用数据库中的 Salted 密码对用户进行身份验证

在数据库驱动的 Web 应用程序中，保护用户密码免受未经授权的访问至关重要。加盐密码是一项重要的安全措施，可以增强对用户凭据的保护。在本次问答中，我们将探讨如何从数据库中检索和验证加盐密码以进行安全的用户身份验证。

问题：

开发人员实现了一个成员网站的加盐密码存储在 MySQL 数据库中。但是，由于验证会员存在问题，登录页面允许任何人进入会员网站。

检查会员存在的代码：

$servername = 'localhost';
$username = 'root';
$pwd = '';
$dbname = 'lp001';

$connect = new mysqli($servername, $username, $pwd, $dbname);

if ($connect->connect_error) {
    die('connection failed, reason: ' . $connect->connect_error);
}

$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false) {
    die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];

$saltedPW = $password . $salt;
$hashedPW = hash('sha256', $saltedPW);
$sqlQuery = "SELECT * FROM users WHERE name = '$name' AND password = '$hashedPW'";

if (mysqli_query($connect, $sqlQuery)) {
    echo '<h1 id="Welcome-to-the-member-site-name">Welcome to the member site ' . $name . '</h1>';
} else {
    echo 'error adding the query: ' . $sql_q . '<br> Reason: ' . mysqli_error($connect);
}

解决方案：

代码中的错误在于成员存在性检查。要根据存储的加盐密码哈希正确验证用户的密码，需要执行以下步骤：

从数据库检索加盐密码哈希：

使用 SQL 查询从数据库中获取提供的用户名的加盐密码哈希。
计算哈希密码：

连接使用检索到的盐输入用户输入的密码，并使用与在数据库中存储密码相同的哈希函数对其进行哈希处理。
将哈希密码与存储的哈希进行比较：

将计算出的散列密码与存储的加盐密码散列进行比较。如果匹配，则用户的密码正确。

以下是会员存在检查代码的更新版本，其中包含以下步骤：

$verifyQuery = "SELECT id, password FROM users WHERE name = '$name';";
$verifyResult = mysqli_query($connect, $verifyQuery);
if ($verifyResult === false) {
    die(mysqli_error());
}
$verifyRow = mysqli_fetch_assoc($verifyResult);
if ($verifyRow) {
    $storedHash = $verifyRow['password'];
    $saltedPW = $password . $verifyRow['salt'];
    $hashedPW = hash('sha256', $saltedPW);

    if ($hashedPW === $storedHash) {
        // User authenticated successfully
    } else {
        // Incorrect password
    }
} else {
    // User not found
}

结论：

通过执行这些步骤，开发人员可以根据数据库中存储的加盐密码哈希安全地验证用户密码。这确保了用户凭据的完整性和保护，防止未经授权的访问。

以上是为什么我的加盐密码身份验证在我的 MySQL 数据库中不起作用？的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

在Laravel中使用Flash会话数据Mar 12, 2025 pm 05:08 PM

Laravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息，警报或通知。默认情况下，数据仅针对后续请求： $请求 -

PHP记录：PHP日志分析的最佳实践Mar 10, 2025 pm 02:32 PM

PHP日志记录对于监视和调试Web应用程序以及捕获关键事件，错误和运行时行为至关重要。它为系统性能提供了宝贵的见解，有助于识别问题并支持更快的故障排除

php中的卷曲：如何在REST API中使用PHP卷曲扩展Mar 14, 2025 am 11:42 AM

PHP客户端URL（curl）扩展是开发人员的强大工具，可以与远程服务器和REST API无缝交互。通过利用Libcurl（备受尊敬的多协议文件传输库），PHP curl促进了有效的执行

简化的HTTP响应在Laravel测试中模拟了Mar 12, 2025 pm 05:09 PM

Laravel 提供简洁的 HTTP 响应模拟语法，简化了 HTTP 交互测试。这种方法显着减少了代码冗余，同时使您的测试模拟更直观。基本实现提供了多种响应类型快捷方式： use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>