php salt认证
|
感谢您对我对php / mysql的无知的诚实批评,也感谢您在此问题上的帮助。
进行以下建议的更正后,我遇到了注册的问题
sha1(md5($password).$salt)
与登录身份验证相比不是===
sha1(md5($password).$row[\'salt\']);
因此,我创建了一个脚本来查看登录脚本所看到的内容,并将其进行比较。
$query = \"UPDATE `users` SET `form_password` = \'$encrypted\' WHERE `username` = \'$username\'\";
mysql_query($query) or die (mysql_error());
密码注册为\“ 1fcb4bdeb8a98151f5f74a2af0b5045ec277c501 \”
并被称为“ f2c04d2583f111fcd41288dc75901f6c870cfc6b”
这是登录时更新的脚本:
else {
$password = $_POST[\'password\'];
$username = mysql_real_escape_string($_POST[\'username\']);
$sql = \"SELECT `password`, `salt` FROM `users` WHERE `username` = \'$username\' LIMIT 0,1\";
$result = mysql_query($sql) or die(mysql_error());
if (is_resource($result) && mysql_num_rows($result) > 0){
$row = mysql_fetch_array($result);
$encrypted = sha1(md5($password).$row[\'salt\']);
if($encrypted === $row[\'password\']){
header(\'Location: page3.php\');
exit;
} else{
$query = \"UPDATE `users` SET `form_password` = \'$encrypted\' WHERE `username` = \'$username\'\";
mysql_query($query) or die (mysql_error());
header(\'Location: page2.php\');
exit;
}
} else{
header(\'Location: page4.php\');
exit;
}
}
没有找到相关结果
已邀请:
4 个回复
净爽
行上放置
是毫无意义的。创建字符串非常不可能失败。您需要在实际执行查询的行上加上“ 4”:
c)您的代码容易受到sql注入的攻击,因为您将用户提供的用户名和密码直接粘贴到查询中而不进行转义。 d)您不检查获取用户的pw / salt的查询是否成功。如果用户名不正确,查询将不检索任何行。这不是错误情况,因为查询执行了预期的操作。您需要通过
检查查询是否返回了一行。
莽缓逢
将返回\“ salt \”。改用:
要么
还请考虑马克B提出的观点。它们都是好的并且有效的。
艾食魄轻县
指数。的PHP
粟痢凰副
后来
注意加密应该在php中完成,因为匹配时MySQL将为每一行计算SHA1(..),这是不必要的浪费