PHP盐和哈希SHA256用于登录密码

php mysql hash sha256 salt

2022-08-30 17:40:27

我已经在我的注册脚本中对密码进行了加密，它们存储在数据库中，我必须使用它们登录，所以我想使用未加密的密码登录。我已经阅读了这里的一些帖子，但没有任何东西可以帮助我。如何在登录.php中添加它？盐也存储在数据库中。

这是我的寄存器.php用于加密的脚本

$hash = hash('sha256', $password1);

function createSalt()
{
    $text = md5(uniqid(rand(), TRUE));
    return substr($text, 0, 3);
}

$salt = createSalt();
$password = hash('sha256', $salt . $hash);

这是我的登录.php与季节

//Create query
$qry="SELECT * FROM member WHERE username='$username' AND password='$password'";
$result=mysql_query($qry);

//Check whether the query was successful or not
if($result) {
    if(mysql_num_rows($result) > 0) {
        //Login Successful
        session_regenerate_id();
        $member = mysql_fetch_assoc($result);
        $_SESSION['SESS_MEMBER_ID'] = $member['id'];
        $_SESSION['SESS_FIRST_NAME'] = $member['username'];
        $_SESSION['SESS_LAST_NAME'] = $member['password'];
        session_write_close();
        header("location: profile.php");
        exit();
    }
    else {
        //Login failed
        //error message 
    }
else {
    die("Query failed");
}

答案 1

这些示例来自 php.net。多亏了你，我也刚刚了解了新的php哈希函数。

阅读 php 文档，了解各种可能性和最佳实践：http://www.php.net/manual/en/function.password-hash.php

保存密码哈希：

$options = [
    'cost' => 11,
];
// Get the password from post
$passwordFromPost = $_POST['password'];

$hash = password_hash($passwordFromPost, PASSWORD_BCRYPT, $options);

// Now insert it (with login or whatever) into your database, use mysqli or pdo!

获取密码哈希：

// Get the password from the database and compare it to a variable (for example post)
$passwordFromPost = $_POST['password'];
$hashedPasswordFromDB = ...;

if (password_verify($passwordFromPost, $hashedPasswordFromDB)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

答案 2

根据 php.net Salt选项从PHP 7.0.0开始已被弃用，因此您应该使用默认生成的盐，并且要简单得多。

存储密码的示例：

$hashPassword = password_hash("password", PASSWORD_BCRYPT);

验证密码的示例：

$passwordCorrect = password_verify("password", $hashPassword);