问题描述
|
我有这个登录系统,在这里我(最后)刚刚添加了哈希256。今天早些时候,我与@KingCrunch和其他一些人有很长的交往,他们为我提供了很多帮助。再次非常感谢。
但是我现在不想做的是,我想使用以下方法使$ salt变得唯一:
$salt = uniqid(mt_rand()); $salt = uniqid(mt_rand());
$password = hash(\'sha256\',$salt.$_POST[\'password\']);
创建新成员后,将对其进行设置,并将其添加到名为“ salt \”的行下的数据库中。
现在,当我尝试登录时,使用创建的凭据将不让我登录。
$salt = $row[\'salt\'];
$password = hash(\'sha256\',$salt.$_POST[\'password\']);
$username = MysqL_real_escape_string($_POST[\'username\']);
$sql= \"SELECT * FROM members WHERE username=\'$username\' and password=\'$password\'\";
$result=MysqL_query($sql);
$row=MysqL_fetch_array($result);
这是我的login_ac.PHP,在那里我得到$salt
成为row[\'salt\']
。我认为这永远不会成功,因为我还没有告诉它必须选择哪一列。
所以我的问题是:如何使它起作用?是否必须创建另一个查询或类似的东西?
我需要$salt
才能从row[\'salt\']
中挑选,因为我希望盐是唯一的。
解决方法
与我在另一个问题中的答案不同,我将在此处检索用户的整行并比较php中的哈希值(要记住:我建议在另一个问题的sql查询中比较它)。
$username = mysql_real_escape_string($_POST[\'username\']);
$sql= \"SELECT * FROM members WHERE username=\'$username\'\";
$result=mysql_query($sql);
$row=mysql_fetch_array($result);
这将检索用户的行。如果用户名在数据库中不存在,则“ 7”将返回“ 8”(照常)。但是,您可以重新创建哈希并将其与数据库中保存的哈希进行比较
if (hash(\'sha256\',$row[\'salt\'] . $_POST[\'password\']) === $row[\'password\']) {
// fine
}
, 正如前面的问题中指出的那样,如果用户名是唯一的,则无需使用密码查询数据库。只需查询用户名即可。然后,返回的行将同时包含salt和密码,从而使您能够完成PHP中的安全性验证。