Comment authentifier en toute sécurité les utilisateurs avec des mots de passe salés stockés dans une base de données ?-tutoriel mysql-php.cn

Comment authentifier en toute sécurité les utilisateurs avec des mots de passe salés stockés dans une base de données ?

Linda Hamilton

Libérer： 2024-12-05 03:39:09

original

928 Les gens l'ont consulté

How to Safely Authenticate Users with Salted Passwords Stored in a Database?

Comment retirer un mot de passe salé de la base de données et authentifier un utilisateur

Lors de la mise en œuvre d'un site d'adhésion avec des mots de passe salés stockés dans une base de données, garantir une authentification correcte devient crucial. Cependant, des erreurs peuvent survenir lors de la tentative de vérification de l'existence d'un utilisateur.

Le problème

L'extrait de code ci-dessous illustre une méthode incorrecte pour vérifier si un membre existe :

$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false){
    die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];

Copier après la connexion

Ce code tente de récupérer le sel de la base de données mais échoue si la requête renvoie false.

La solution

Pour vérifier avec précision les informations de connexion d'un utilisateur, nous devons récupérer le hachage du mot de passe stocké et le comparer au mot de passe saisi par l'utilisateur. Ce processus implique l'utilisation des fonctions password_hash() et password_verify().

Exemple de code pour MySQLi

/**
 * mysqli example for a login with a stored password-hash
 */
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');

// Find the stored password hash in the database, searching by username
$sql = 'SELECT password FROM users WHERE name = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['name']); // it is safe to pass the user input unescaped
$stmt->execute();

// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true) {
  // Check whether the entered password matches the stored hash.
  // The salt and the cost factor will be extracted from $hashFromDb.
  $isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}

Copier après la connexion

Exemple de code pour AOP

/**
 * pdo example for a login with a stored password-hash
 */
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);

// Find the stored password hash in the database, searching by username
$sql = 'SELECT password FROM users WHERE name = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['name'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();

// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false) {
  $hashFromDb = $row['password'];

  // Check whether the entered password matches the stored hash.
  // The salt and the cost factor will be extracted from $hashFromDb.
  $isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}

Copier après la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!