MySQL 데이터베이스에서 솔트된 비밀번호 인증이 작동하지 않는 이유는 무엇입니까?-PHP 튜토리얼-php.cn

MySQL 데이터베이스에서 솔트된 비밀번호 인증이 작동하지 않는 이유는 무엇입니까?

Susan Sarandon

풀어 주다： 2024-11-13 10:03:02

원래의

708명이 탐색했습니다.

Why is my salted password authentication not working in my MySQL database?

데이터베이스에서 솔트된 비밀번호로 사용자를 인증하는 방법

데이터베이스 기반 웹 애플리케이션에서는 무단 액세스로부터 사용자 비밀번호를 보호하는 것이 중요합니다. . 비밀번호 솔팅은 사용자 자격 증명의 보호를 강화하는 중요한 보안 조치입니다. 이 Q&A에서는 안전한 사용자 인증을 위해 데이터베이스에서 솔트 처리된 비밀번호를 검색하고 인증하는 방법을 살펴보겠습니다.

문제:

개발자가 회원을 구현했습니다. MySQL 데이터베이스에 저장된 솔트된 비밀번호가 있는 사이트입니다. 다만, 로그인 페이지에서 회원 유무 확인 문제로 인해 모든 회원 사이트 진입을 허용하고 있습니다.

회원 존재 확인 코드:

$servername = 'localhost';
$username = 'root';
$pwd = '';
$dbname = 'lp001';

$connect = new mysqli($servername, $username, $pwd, $dbname);

if ($connect->connect_error) {
    die('connection failed, reason: ' . $connect->connect_error);
}

$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false) {
    die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];

$saltedPW = $password . $salt;
$hashedPW = hash('sha256', $saltedPW);
$sqlQuery = "SELECT * FROM users WHERE name = '$name' AND password = '$hashedPW'";

if (mysqli_query($connect, $sqlQuery)) {
    echo '<h1>Welcome to the member site ' . $name . '</h1>';
} else {
    echo 'error adding the query: ' . $sql_q . '<br> Reason: ' . mysqli_error($connect);
}

로그인 후 복사

해결 방법:

코드의 오류는 회원 존재 확인에 있습니다. 저장된 솔트된 비밀번호 해시에 대해 사용자의 비밀번호를 올바르게 확인하려면 다음 단계가 필요합니다.

데이터베이스에서 솔트된 비밀번호 해시를 검색합니다.

SQL 쿼리를 사용하여 제공된 사용자 이름에 대해 데이터베이스에서 솔트 처리된 비밀번호 해시를 가져옵니다.
해시된 비밀번호 계산:

연결 검색된 솔트로 사용자가 입력한 비밀번호를 검색하고 데이터베이스에 비밀번호를 저장하는 데 사용된 것과 동일한 해싱 기능을 사용하여 해시합니다.
해시된 비밀번호와 저장된 해시를 비교하세요.

계산된 해시 비밀번호와 저장된 솔트 비밀번호 해시를 비교하세요. 일치하면 해당 사용자의 비밀번호가 올바른 것입니다.

다음은 이러한 단계를 통합한 회원 존재 확인 코드의 업데이트 버전입니다.

$verifyQuery = "SELECT id, password FROM users WHERE name = '$name';";
$verifyResult = mysqli_query($connect, $verifyQuery);
if ($verifyResult === false) {
    die(mysqli_error());
}
$verifyRow = mysqli_fetch_assoc($verifyResult);
if ($verifyRow) {
    $storedHash = $verifyRow['password'];
    $saltedPW = $password . $verifyRow['salt'];
    $hashedPW = hash('sha256', $saltedPW);

    if ($hashedPW === $storedHash) {
        // User authenticated successfully
    } else {
        // Incorrect password
    }
} else {
    // User not found
}

로그인 후 복사

결론:

이러한 단계를 따르면 개발자는 데이터베이스에 저장된 솔트 처리된 비밀번호 해시와 비교하여 사용자 비밀번호를 안전하게 확인할 수 있습니다. 이를 통해 사용자 자격 증명의 무결성과 보호가 보장되어 무단 액세스로부터 보호됩니다.

위 내용은 MySQL 데이터베이스에서 솔트된 비밀번호 인증이 작동하지 않는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!