php salt认证

| 感谢您对我对php / mysql的无知的诚实批评,也感谢您在此问题上的帮助。 进行以下建议的更正后,我遇到了注册的问题 
sha1(md5($password).$salt)
与登录身份验证相比不是=== 
sha1(md5($password).$row[\'salt\']);
因此,我创建了一个脚本来查看登录脚本所看到的内容,并将其进行比较。 
 $query = \"UPDATE `users` SET `form_password` = \'$encrypted\'  WHERE `username` = \'$username\'\";  
     mysql_query($query) or die (mysql_error());
密码注册为\“ 1fcb4bdeb8a98151f5f74a2af0b5045ec277c501 \” 并被称为“ f2c04d2583f111fcd41288dc75901f6c870cfc6b” 这是登录时更新的脚本: 
else {  

$password = $_POST[\'password\'];
$username = mysql_real_escape_string($_POST[\'username\']);


$sql  =  \"SELECT `password`, `salt` FROM `users` WHERE `username` = \'$username\' LIMIT 0,1\";
$result = mysql_query($sql) or die(mysql_error());

if (is_resource($result) && mysql_num_rows($result) > 0){
    $row        =   mysql_fetch_array($result);
    $encrypted  =   sha1(md5($password).$row[\'salt\']);

     if($encrypted === $row[\'password\']){
    header(\'Location: page3.php\');
    exit;
     } else{

     $query = \"UPDATE `users` SET `form_password` = \'$encrypted\'  WHERE `username` = \'$username\'\";  
     mysql_query($query) or die (mysql_error());

    header(\'Location: page2.php\');
    exit;
     }
} else{
header(\'Location: page4.php\');
exit;
}
}
    
2020-02-25 5 条评论
分享

没有找到相关结果

    已邀请:

    净爽

            a)您的密码字段在数据库中有多大? SHA1散列的长度为40个字符,因此,如果您的字段大小小于该值,则哈希密码将被截断。 b)在您的
    $sql = ...
    行上放置
    or die()
    是毫无意义的。创建字符串非常不可能失败。您需要在实际执行查询的行上加上“ 4”: 
    $sql = \"...\"
$result = mysql_query($sql) or die(...);
    c)您的代码容易受到sql注入的攻击,因为您将用户提供的用户名和密码直接粘贴到查询中而不进行转义。 d)您不检查获取用户的pw / salt的查询是否成功。如果用户名不正确,查询将不检索任何行。这不是错误情况,因为查询执行了预期的操作。您需要通过
    mysql_num_rows($result)
    检查查询是否返回了一行。     
    2020-02-25 0 0
    分享

    莽缓逢

            您引用的列标识符错误。使用反引号或根本不使用。 
    SELECT \'salt\' FROM table WHERE ....
    将返回\“ salt \”。改用: 
    SELECT `salt` ....
    要么 
    SELECT salt ....
    还请考虑马克B提出的观点。它们都是好的并且有效的。     
    2020-02-25 0 0
    分享

    艾食魄轻县

            你那里有很多错误。 这是您的工作代码: 数据库密码被加密为: 
    <?php
function generateSalt(){
    // Declare $salt
    $salt = \'\';

    // And create it with random chars
    for ($i = 0; $i < 2; $i++){
        $salt .= chr(rand(48, 57)) . chr(rand(65, 90)) . chr(rand(97, 122));
    }

    return $salt;
}
$salt       =   generateSalt();
$encrypted  =   sha1(md5($password).$salt);
$query      =   \"INSERT INTO `users`(`password`, `salt`) VALUES \'$encrypted\', \'$salt\')\";
?>
    指数。的PHP 
    <?php
function salt() {
    // Declare $salt
    $salt = \'\';

    // And create it with random chars
    for ($i = 0; $i < 2; $i++){
        $salt .= chr(rand(48, 57)) . chr(rand(65, 90)) . chr(rand(97, 122));
    }

    return $salt;
 }

$password = $_POST[\'password\'];
$username = mysql_real_escape_string($_POST[\'username\']); 

$sql        =   \"SELECT `password`, `salt` FROM `users` WHERE `username` = \'$username\' LIMIT 0,1\";
$result     =   mysql_query($sql) or die(\'Could not access user.\');
if(is_resource($result) && mysql_num_rows($result) > 0){
    $row        =   mysql_fetch_array($result);
    $encrypted  =   sha1(md5($password).$row[\'salt\']);

    if($encrypted === $row[\'password\']){
        header(\'Location: page3.php\');
        exit;
    } else{
        header(\'Location: page2.php\');
        exit;
    }
} else{
    header(\'Location: page2.php\');
    exit;
}
?>
        
    2020-02-25 0 0
    分享

    粟痢凰副

            我会用伪代码做到这一点 
    $salt=\'secretword\';// that do not change
$encrypted=sha1($password.$salt);

INSERT INTO users (username,password) VALUES($username, $encrypted);
    后来 
    //get $username and $password from user input
$encrypted=sha1($password.$salt);
SELECT * FROM users WHERE username=\'$username\' and password=\'$encrypded\' LIMIT 1
    注意加密应该在php中完成,因为匹配时MySQL将为每一行计算SHA1(..),这是不必要的浪费     
    2020-02-25 0 0
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    或代码 OrCode.com 备案号:粤ICP备15020848号-1
    Escape time: 0.055987119674683