如何使用PHP更改数据库中的SALT密码？_Php_Sql_Passwords_Sql Update_Salt

如何使用PHP更改数据库中的SALT密码？

php sql passwords

如何使用PHP更改数据库中的SALT密码？,php,sql,passwords,sql-update,salt,Php,Sql,Passwords,Sql Update,Salt,为了更新数据库中的用户密码，我正在使用从android到一些php脚本的HTTP POST 我使用的SALT散列与用户创建帐户、数据库更新正在运行并更改SALT值时使用的SALT散列相同。但是，当我尝试使用新密码登录时，它显示为不正确创建密码的初始代码为： public function storeUser($name, $email, $password, $rand) { $uuid = uniqid('', true); $hash = $this->hashSSH

为了更新数据库中的用户密码，我正在使用从android到一些php脚本的HTTP POST

我使用的SALT散列与用户创建帐户、数据库更新正在运行并更改SALT值时使用的SALT散列相同。但是，当我尝试使用新密码登录时，它显示为不正确

创建密码的初始代码为：

public function storeUser($name, $email, $password, $rand) {
    $uuid = uniqid('', true);
    $hash = $this->hashSSHA($password);
    $encrypted_password = $hash["encrypted"]; // encrypted password
    $salt = $hash["salt"]; // salt
    $auth = 0;
    $result = mysql_query("INSERT INTO users(unique_id, authorized, auth_code, name, email, encrypted_password, salt, created_at) VALUES('$uuid', '$auth', '$rand', '$name', '$email', '$encrypted_password', '$salt', NOW())");
    // check for successful store
    if ($result) {
        // get user details 
        $uid = mysql_insert_id(); // last inserted id
        $result = mysql_query("SELECT * FROM users WHERE uid = $uid");
        // return user details
        return mysql_fetch_array($result);
    } else {
        return false;
    }
}

散列函数包括：

 /**
 * Encrypting password
 * @param password
 * returns salt and encrypted password
 */
public function hashSSHA($password) {

    $salt = sha1(rand());
    $salt = substr($salt, 0, 10);
    $encrypted = base64_encode(sha1($password . $salt, true) . $salt);
    $hash = array("salt" => $salt, "encrypted" => $encrypted);
    return $hash;
}

/**
 * Decrypting password
 * @param salt, password
 * returns hash string
 */
public function checkhashSSHA($salt, $password) {

    $hash = base64_encode(sha1($password . $salt, true) . $salt);

    return $hash;
}

最后是更新函数（问题在于）：

一如既往，非常感谢您的帮助

编辑：

按要求登录功能：

 /**
 * Get user by email and password
 */
public function getUserByEmailAndPassword($email, $password) {
    $result = mysql_query("SELECT * FROM users WHERE email = '$email'") or die(mysql_error());
    // check for result
    $no_of_rows = mysql_num_rows($result);
    if ($no_of_rows > 0) {
        $result = mysql_fetch_array($result);
        $salt = $result['salt'];
        $encrypted_password = $result['encrypted_password'];
        $hash = $this->checkhashSSHA($salt, $password);
        // check for password equality
        if ($encrypted_password == $hash) {
            // user authentication details are correct
            return $result;
        }
    } else {
        // user not found
        return false;
    }
}

您构建了一个弱方案来散列密码，因为您使用SHA1的一次迭代作为散列函数，而且salt被截断为10个字符，并且是使用加密不安全的

rand（）

函数生成的。然后你把盐储存在一块单独的田地里，这会使你的生活变得更加艰难

在您的情况下，我强烈建议您使用PHP的新函数和函数来获得一个强大的BCrypt哈希。它们负责生成安全的随机salt，结果字符串包含哈希值和salt，因此您可以将其存储在数据库中的单个字段中。对于早期的PHP版本，存在一个新的解决方案

使用此功能的最简单方法是：

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

回答您的问题：我看不出它不起作用的明显原因，问题通常是数据库字段太短。在您的例子中，您需要一个添加了10个字符salt的二进制SHA1，即base64_编码（很难预测必要的大小）。将SHA1中的二进制字符串（空字节）与普通字符串组合也可能很危险。

电子邮件地址字段是否唯一？登录函数是什么样的？您的散列函数看起来不错，只是使用sha1的原始二进制输出并将salt连接到该输出上没有任何价值。只需使用基本的

sha1（$password.$salt）

并跳过base64编码。另外，谢谢你的回复。你能澄清一下吗？存储在数据库中的每个电子邮件地址都是唯一的，但是在SQL中它们没有设置为唯一索引。登录功能添加为编辑。当用户忘记密码时，如何恢复密码？

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);