Welches Passwort sollte beim Vergleich von Passwort-Hashes mit passwort_hash() und passwort_verify() an erster Stelle stehen?

PHP Password_hash(), Password_verify() [Duplikat]

Kennwortvergleich verstehen

Bei Verwendung der Funktion Password_hash() von PHP zum Hashen von Passwörtern zur Speicherung In einer Datenbank ist es wichtig zu verstehen, wie das gehashte Passwort während der Anmeldung mit „password_verify()“ überprüft wird.

Code-Analyse

In Ihrem Code hasht die Funktion „password_hash()“ das Passwort vor dem Speichern es in der Datenbank. Im Anmeldeskript vergleichen Sie jedoch direkt das vom Benutzer eingegebene ungehashte Passwort mit dem in der Datenbank gespeicherten gehashten Passwort mithilfe von „password_verify()“. Dieser Vergleich wird immer fehlschlagen.

Richtige Verwendung

Der korrekte Weg, ein Passwort mit „password_verify()“ zu überprüfen, besteht darin, das vom Benutzer eingegebene, nicht gehashte Passwort als erstes Argument und das gehashte zu übergeben Das in der Datenbank gespeicherte Passwort wird als zweites Argument verwendet. Dadurch kann Password_verify() die beiden Passwörter korrekt vergleichen.

Beispiel

Hier ist eine geänderte Version Ihres Anmeldeskripts mit der korrigierten Passwortüberprüfung:

<code class="php">if($_SERVER["REQUEST_METHOD"] == "POST"){
    $p_num = $_POST["username"];
    $pwd = $_POST["password"];

    $query = "SELECT * FROM `$user_table` WHERE `user_id` = '$p_num'";
    $result = mysqli_query($connect, $query);
    while($row = mysqli_fetch_assoc($result)){
        $user_id = $row['user_id'];
        $first_name = $row['first_name'];
        $last_name = $row['last_name'];
        $user_name = $first_name ." " .$last_name;
        $password = $row['password'];
        $image = $row['image'];
        $email = $row['email'];
        $program = $row['program'];
        $role = $row['role'];
        $status = $row['logged_in'];
        $registered = $row['registered'];

        // Verify the password using password_verify()
        if(($user_id == $p_num) && (password_verify($pwd, $password))){
            $_SESSION["id"] = $user_id;
            $_SESSION["user"] = $user_name;
            $_SESSION["program"] = $program;
            $_SESSION["pass"] = $password;
            $_SESSION["image"] = $image;
            $_SESSION["email"] = $email;
            $_SESSION["role"] = $role;
            $_SESSION["status"] = $status;
            $_SESSION["registered"] = $registered;
            $loggedin = "UPDATE `$user_table` SET `logged_in` = 1 WHERE `user_id` = '$user_id'";
        }
    var_dump($pwd);
    var_dump($password);
}
}</code>

Fazit

Durch die korrekte Verwendung von „password_verify()“ können Sie Benutzerkennwörter während der Anmeldung genau validieren und so die Sicherheit und Integrität Ihres Systems gewährleisten.

Das obige ist der detaillierte Inhalt vonWelches Passwort sollte beim Vergleich von Passwort-Hashes mit passwort_hash() und passwort_verify() an erster Stelle stehen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!