我整理了一个PHP用户登录脚本,并设法使注册页面正常工作(因此排除了common.PHP文件的内容),并在MysqL中检查了该数据库已被填充,除了成功以外,我似乎无法让登录本身发布任何内容.
我肯定是在数据库中输入用户名和密码.谁能看到我出了问题的地方,或者就如何检查出问题提出建议?
表jmp_users具有以下结构:
jmp_userID / init(11) / auto_increment
jmp_username / varchar(30) / utf8_unicode_ci
jmp_password / varchar(40) / utf8_unicode_ci
salt / char(16) / utf8_unicode_ci
<?PHP
require("common.PHP");
$submitted_username = '';
if(!empty($_POST))
{
$query = "
SELECT
jmp_userID,
jmp_username,
jmp_password,
salt
FROM jmp_users
WHERE
jmp_username = :username
";
$query_params = array(
':username' => $_POST['jmp_username']
);
try
{
$stmt = $db->prepare($query);
$result = $stmt->execute($query_params);
}
catch(PDOException $ex)
{
die("Failed to run query: " . $ex->getMessage());
}
$login_ok = false;
$row = $stmt->fetch();
if($row)
{
$check_password = hash('sha256', $_POST['jmp_password'] . $row['salt']);
for($round = 0; $round < 65536; $round++)
{
$check_password = hash('sha256', $check_password . $row['salt']);
}
if($check_password === $row['jmp_password'])
{
$login_ok = true;
}
}
if($login_ok)
{
unset($row['salt']);
unset($row['jmp_password']);
$_SESSION['user'] = $row;
header("Location: private.PHP");
die("Redirecting to: private.PHP");
}
else
{
print("Login Failed.");
$submitted_username = htmlentities($_POST['jmp_username'], ENT_QUOTES, 'UTF-8');
}
}
?>
<h1>Login</h1>
<form action="login.PHP" method="post">
Username:<br />
<input type="text" name="username" value="<?PHP echo $submitted_username; ?>" />
<br /><br />
Password:<br />
<input type="password" name="password" value="" />
<br /><br />
<input type="submit" value="Login" />
</form>
<a href="register.PHP">Register</a>
解决方法:
当您使用SHA256(使用十六进制值,而不是原始值)时,您需要64个字符来存储密码的哈希(只有40个字符).
顺便说一句:我认为不需要将密码重新哈希65536次,这会浪费cpu.
同样,通常所有密码都使用一个盐字符串.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
