So entziehen Sie ein Salted-Passwort aus der Datenbank und authentifizieren einen Benutzer
Beim Implementieren einer Mitgliederseite mit Salted-Passwörtern, die in einer Datenbank gespeichert sind, Die Sicherstellung einer korrekten Authentifizierung wird von entscheidender Bedeutung. Beim Versuch, die Existenz eines Benutzers zu überprüfen, können jedoch Fehler auftreten.
Das Problem
Der folgende Codeausschnitt zeigt eine falsche Methode zur Überprüfung, ob ein Mitglied existiert:
$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false){
die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];Dieser Code versucht, das Salt aus der Datenbank abzurufen, schlägt jedoch fehl, wenn die Abfrage zurückkehrt falsch.
Die Lösung
Um die Anmeldeinformationen eines Benutzers genau zu überprüfen, müssen wir den gespeicherten Passwort-Hash abrufen und ihn mit dem vom Benutzer eingegebenen Passwort vergleichen. Dieser Prozess beinhaltet die Verwendung der Funktionen password_hash() und password_verify().
Beispielcode für MySQLi
/**
* mysqli example for a login with a stored password-hash
*/
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');
// Find the stored password hash in the database, searching by username
$sql = 'SELECT password FROM users WHERE name = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['name']); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true) {
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}Beispielcode für PDO
/**
* pdo example for a login with a stored password-hash
*/
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);
// Find the stored password hash in the database, searching by username
$sql = 'SELECT password FROM users WHERE name = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['name'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false) {
$hashFromDb = $row['password'];
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}Das obige ist der detaillierte Inhalt vonWie authentifiziert man Benutzer sicher mit in einer Datenbank gespeicherten Salted-Passwörtern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
So entfernen Sie den Rand des Textfelds
Y460-Grafikkartenumschaltung
Wie man die Fans von Douyin schnell und effektiv steigert
So ändern Sie die Schriftfarbe in Dreamweaver
Einführung in die Plug-Ins, die für die Ausführung von Java durch vscode erforderlich sind
Die herausragendsten Merkmale von Computernetzwerken
Was ist der Unterschied zwischen Originalbildschirm und zusammengebautem Bildschirm?
Dogecoin-Preis heute
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
