Rumah > pembangunan bahagian belakang > tutorial php > Mengapa pengesahan kata laluan masin saya tidak berfungsi dalam pangkalan data MySQL saya?

Mengapa pengesahan kata laluan masin saya tidak berfungsi dalam pangkalan data MySQL saya?

Susan Sarandon
Lepaskan: 2024-11-13 10:03:02
asal
796 orang telah melayarinya

Why is my salted password authentication not working in my MySQL database?

Cara Mengesahkan Pengguna dengan Kata Laluan Masin daripada Pangkalan Data

Dalam aplikasi web dipacu pangkalan data, adalah penting untuk melindungi kata laluan pengguna daripada akses yang tidak dibenarkan . Kata laluan pengasinan ialah langkah keselamatan penting yang meningkatkan perlindungan kelayakan pengguna. Dalam Soal Jawab ini, kami akan meneroka cara untuk mendapatkan dan mengesahkan kata laluan masin daripada pangkalan data untuk pengesahan pengguna yang selamat.

Masalahnya:

Seorang pembangun melaksanakan ahli tapak dengan kata laluan masin yang disimpan dalam pangkalan data MySQL. Walau bagaimanapun, halaman log masuk membenarkan sebarang kemasukan ke dalam tapak keahlian kerana masalah dalam mengesahkan kewujudan ahli.

Kod untuk Menyemak Kewujudan Ahli:

$servername = 'localhost';
$username = 'root';
$pwd = '';
$dbname = 'lp001';

$connect = new mysqli($servername, $username, $pwd, $dbname);

if ($connect->connect_error) {
    die('connection failed, reason: ' . $connect->connect_error);
}

$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false) {
    die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];

$saltedPW = $password . $salt;
$hashedPW = hash('sha256', $saltedPW);
$sqlQuery = "SELECT * FROM users WHERE name = '$name' AND password = '$hashedPW'";

if (mysqli_query($connect, $sqlQuery)) {
    echo '<h1>Welcome to the member site ' . $name . '</h1>';
} else {
    echo 'error adding the query: ' . $sql_q . '<br> Reason: ' . mysqli_error($connect);
}
Salin selepas log masuk

Penyelesaian:

Ralat dalam kod terletak pada semakan kewujudan ahli. Untuk mengesahkan kata laluan pengguna dengan betul terhadap cincang kata laluan masin yang disimpan, langkah berikut adalah perlu:

  1. Dapatkan kembali Cincang Kata Laluan Masin daripada Pangkalan Data:

    Gunakan pertanyaan SQL untuk mengambil cincang kata laluan masin daripada pangkalan data untuk yang disediakan nama pengguna.

  2. Kira Kata Laluan Dicincang:

    Sambungkan kata laluan yang dimasukkan pengguna dengan garam yang diambil dan cincang menggunakan fungsi pencincangan yang sama seperti yang digunakan untuk menyimpan kata laluan dalam pangkalan data.

  3. Bandingkan Kata Laluan Cincang dengan Cincang Tersimpan:

    Bandingkan kata laluan cincang yang dikira dengan cincang kata laluan masin yang disimpan. Jika ia sepadan, kata laluan pengguna adalah betul.

Di bawah ialah versi terkini kod semakan kewujudan ahli yang menggabungkan langkah-langkah ini:

$verifyQuery = "SELECT id, password FROM users WHERE name = '$name';";
$verifyResult = mysqli_query($connect, $verifyQuery);
if ($verifyResult === false) {
    die(mysqli_error());
}
$verifyRow = mysqli_fetch_assoc($verifyResult);
if ($verifyRow) {
    $storedHash = $verifyRow['password'];
    $saltedPW = $password . $verifyRow['salt'];
    $hashedPW = hash('sha256', $saltedPW);

    if ($hashedPW === $storedHash) {
        // User authenticated successfully
    } else {
        // Incorrect password
    }
} else {
    // User not found
}
Salin selepas log masuk

Kesimpulan:

Dengan mengikuti langkah ini, pembangun boleh mengesahkan kata laluan pengguna dengan selamat terhadap cincang kata laluan masin disimpan dalam pangkalan data. Ini memastikan integriti dan perlindungan kelayakan pengguna, melindungi daripada akses tanpa kebenaran.

Atas ialah kandungan terperinci Mengapa pengesahan kata laluan masin saya tidak berfungsi dalam pangkalan data MySQL saya?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan