我正在使用password_hash来保护数据库中的密码,但是当我使用password_verify时,它不匹配。在第一个情况下,我使用password_verify来连接用户,它总是返回true,即使它不是好的密码。在第二种情况下,当用户想要更改密码时,我使用password_verify,要求他提供实际密码来更改密码。在这种情况下,它总是返回 false,即使我以与连接相同的方式使用 password_verify。
在我的数据库中,密码存储为 VARCHAR(60(。我也试过 VARCHAR(255(,没有区别。
以下是用户创建帐户时如何使用password_hash:
if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['psw-confirmation'])) {
$username = htmlspecialchars($_POST['username']);
$password = htmlspecialchars($_POST['password']);
$pswConfirmation = htmlspecialchars($_POST['psw-confirmation']);
if($password == $pswConfirmation) {
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE username = :username");
$request->execute(array(
":username" => $username
));
$return = $request->fetch();
// If the username doesn't exist yet in the database
if(!$return) {
$request->closeCursor();
$hash = password_hash($password, PASSWORD_BCRYPT);
$addProfile = $database->prepare("INSERT INTO users(username, password) VALUES(:username, :password)");
$addProfile->execute(array(
":username" => $username,
":password" => $hash
));
我想这部分运行良好,因为我的数据库中确实有一个散列密码:$2y$10$AFV2zouzirBhS30tCCRx9uyZDNMGSJWffUbXMO876T/9nJ8UDQJRi
以下是我验证连接密码的方法:
if(isset($_POST['username']) && isset($_POST['password'])) {
$username = htmlspecialchars($_POST['username']);
$password = htmlspecialchars($_POST['password']);
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE username = :username");
$request->execute(array(
":username" => $username
));
$return = $request->fetch();
$hash = $return['password'];
// If the username exists in the database
if($return) {
// And if the password match
if(password_verify($password, $hash)) {
echo "connected";
}
当我想要更改密码时,我如何验证密码: if(isset($_POST['actual-psw']( && isset($_POST['new-PSW']( && isset($_POST['confirm-PSW'](( {
$actualPsw = htmlspecialchars($_POST['actual-psw']);
$newPsw = htmlspecialchars($_POST['new-psw']);
$confirmPsw = htmlspecialchars($_POST['confirm-psw']);
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE id = :id");
$request->execute(array(
':id' => $_SESSION['id']
));
$return = $request->fetch();
$hash = $return['password'];
if(password_verify($actualPsw, $hash)) {
echo "success";
} else {
echo "fail";
}
$_SESSION['id']返回实际用户的有效 ID。
我不明白为什么它不起作用,这让我更加困惑的是,在一种情况下它总是正确的,而在另一种情况下它总是错误的,因为我在两种情况下都使用了相同的方式。
我找出我的错误在哪里;
我有这个数据库连接.php文件:
$host = 'localhost';
$dbname = 'japonwebsite';
$user = 'root';
$password = 'mysql';
try
{
$database = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8", $user,
$password);
}
catch (Exception $e)
{
die('Erreur : ' . $e->getMessage());
}
我将此文件包含在需要连接到数据库的所有页面上,因此我将其包含在将用户添加到数据库的页面上以及验证登录的页面上。
问题是,在这两个页面上,我都在做$password = $_POST['password'];,以存储用户在登录或注册表单上输入的密码变量。
之后,我正在做include('database-connection.php');连接到数据库。所以$password总是等于mysql,因为我在database-connection.php中也有一个变量$password。所以我总是在数据库中添加"mysql"的哈希,并始终验证数据库中的哈希等于"mysql",所以它总是正确的。我刚刚重命名了数据库连接中的变量$password来修复它!