Comment récupérer un mot de passe salé de la base de données pour l'authentification des utilisateurs ?

Comment récupérer un mot de passe salé de la base de données pour l'authentification des utilisateurs

En tentant de mettre en œuvre un site d'adhésion avec des mots de passe salés stockés dans MySQL, vous pouvez rencontrer des problèmes avec page de connexion des membres acceptant toute entrée. Cet article aborde le problème en proposant une solution basée sur le concept de salage et de hachage de mots de passe.

Salage et hachage de mots de passe

Pour renforcer la sécurité, les mots de passe sont souvent salés et hachés avant d'être stockés dans le base de données. Le salage consiste à ajouter une chaîne aléatoire au mot de passe, tandis que le hachage convertit le résultat en une valeur unidirectionnelle sécurisée. Ce processus empêche un attaquant de récupérer directement le mot de passe réel même s'il accède à la base de données.

Récupération du mot de passe salé

Pour récupérer le mot de passe salé, vous devez :

1. Interrogez la base de données pour le sel : Utilisez une requête SQL pour récupérer la valeur du sel associée au nom de l'utilisateur. nom.
2. Concaténez le mot de passe et le sel : Combinez le mot de passe saisi par l'utilisateur avec le sel récupéré.
3. Hashez la valeur concaténée : Appliquez un hachage fonction au mot de passe salé pour générer la valeur hachée.

Vérification du mot de passe salé Mot de passe

Une fois la valeur hachée obtenue, vous pouvez la vérifier par rapport au mot de passe haché stocké dans la base de données :

$sqlQuery = "SELECT * FROM users WHERE name = '$name' AND password = '$hashedPW'";

if (mysqli_query($connect, $sqlQuery)){
    echo '<h1>Welcome to the member site '.$name.'</h1>';
}else{
    echo 'error adding the query: '.$sql_q.'<br> Reason: '.mysqli_error($connect);
}

Dans ce code, si les valeurs hachées correspondent, la connexion est réussie . Sinon, une erreur s'affiche.

Approche alternative

Une autre approche pour la vérification du mot de passe consiste à utiliser les fonctions password_hash() et password_verify() :

$hashFromDb = ...; // retrieve the stored password hash

$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);

Ces fonctions sont automatiquement gérer le processus de salage et de hachage, simplifiant ainsi la vérification du mot de passe.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!