Często programiści mają problemy z weryfikacją hasła logowania, ponieważ nie są pewni, jak poradzić sobie z przechowywanym hashem hasła. Wiedzą, że hasło powinno być zahaszowane odpowiednią funkcją, taką jak password_hash( )
i przechowuj je w varchar(255) pole:
// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT);
W formularzu logowania nie możemy zweryfikować hasła bezpośrednio za pomocą SQL, ani nie możemy go wyszukać, ponieważ przechowywane hasze są solone. Zamiast tego...
- musisz odczytać skrót hasła z bazy danych, szukając według identyfikatora użytkownika
- a potem może sprawdzić hasło logowania ze znalezionym hashem za pomocą password_verify() funkcja.
Poniżej znajdziesz przykładowy kod, pokazujący, jak przeprowadzić weryfikację hasła za pomocą mysqli połączenie. Kod nie zawiera sprawdzania błędów, aby był czytelny:
/**
* mysqli example for a login with a stored password-hash
*/
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['username']); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true)
{
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
Zauważ, że przykład używa przygotowanych instrukcji, aby uniknąć wstrzykiwania SQL, uciekanie nie jest konieczne w tym przypadku. Równoważny przykład do odczytania z pdo połączenie może wyglądać tak:
/**
* pdo example for a login with a stored password-hash
*/
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['username'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false)
{
$hashFromDb = $row['password'];
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
