PHP可以';不要在PDO查询中使用哈希密码
我目前是一名3年级的网络开发专业学生,在学校的一个项目中,我们必须使用PDO和哈希函数构建一个具有更改密码功能的网站,但是我遇到了一个我自己无法解决的问题,我也没有在google和stackoverflow上发现任何类似的问题 我们必须在数据库中存储2个密码,旧密码(用户最后使用的密码);以及他们的当前密码(将用于登录。) 所有密码都使用标准PHP哈希(password_hash()方法)存储 更改用户密码时,我必须从数据库中获取当前密码(用于登录的密码),并将其移动到oldpassword(上次使用的密码)列,同时将新的哈希密码放入数据库 问题是:我似乎无法在PDO查询中使用散列密码,我需要指出的是,我以前从未使用过PDO,但在谷歌搜索了一段时间后,我认为我的查询中没有错误,但在传递给该查询的数据中没有错误 这是我从数据库中获取所有当前数据的地方PHP可以';不要在PDO查询中使用哈希密码,php,mysql,pdo,hash,passwords,Php,Mysql,Pdo,Hash,Passwords,我目前是一名3年级的网络开发专业学生,在学校的一个项目中,我们必须使用PDO和哈希函数构建一个具有更改密码功能的网站,但是我遇到了一个我自己无法解决的问题,我也没有在google和stackoverflow上发现任何类似的问题 我们必须在数据库中存储2个密码,旧密码(用户最后使用的密码);以及他们的当前密码(将用于登录。) 所有密码都使用标准PHP哈希(password_hash()方法)存储 更改用户密码时,我必须从数据库中获取当前密码(用于登录的密码),并将其移动到oldpassword(上
/*prepare and execute a query*/
$sqlStatement = $this->db->prepare("SELECT username, password, oldpassword FROM users WHERE username = :username");
$sqlStatement->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement->execute();
/*Fetch the query results*/
$values = $sqlStatement->fetch(PDO::FETCH_ASSOC);
这就是我尝试使用PDO SQL查询将数据存储到数据库中的地方
/*Create variables to use in querys*/
$queryPassword = password_hash($password, PASSWORD_DEFAULT);
/*Update the passwords*/
$sqlStatement2 = $this->db->prepare("UPDATE password, oldPassword VALUES (:password, :oldpassword)");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->execute();
$password和$username是从表单传递到函数以更改用户密码的变量
public function updateUserPasswords($username, $password){
我觉得奇怪的是:如果我对$values[“password”]进行var_转储,我会得到以下数据:字符串(60)“$2y$10$BBCpJxgPa8K.iw9ZporxzuW2Lt478RPUV/JFvKRHKzJhIwGhd1tpa” 其中,我的查询错误提供了以下数据:
2y$10$ 就好像只有散列被发送到查询。 ==编辑== 发送到浏览器的SQL错误为:
Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'VALUES ('$2y$10$AC.aMG/gNV9zwGB/v/g7keW9jsZ80kuejrSh693DPuhOYChFxA6wu', '$2y$10$' at line 1' in /srv/jip/www/www.jip.nl/classes/user.class.php:92 Stack trace: #0 /srv/jip/www/www.jip.nl/classes/user.class.php(92): PDOStatement->execute() #1 /srv/jip/www/www.jip.nl/pages/first_login.php(26): User->updateUserPasswords('username', 'password') #2 {main} thrown in /srv/jip/www/www.jip.nl/classes/user.class.php on line 92
不要使用散列密码检索数据,因为每次使用时都会使用不同的salt生成新的散列 仅使用用户名检索记录,然后使用验证密码 编辑 update查询引用列,但没有表,并且没有WHERE子句:
$sqlStatement2 = $this->db->prepare("UPDATE users SET password=:password, oldPassword=:oldpassword WHERE username = :username");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement2->execute();
使用适当的值绑定时,不要使用散列密码检索数据,因为每次使用时都会使用不同的salt生成新的散列 仅使用用户名检索记录,然后使用验证密码 编辑 update查询引用列,但没有表,并且没有WHERE子句:
$sqlStatement2 = $this->db->prepare("UPDATE users SET password=:password, oldPassword=:oldpassword WHERE username = :username");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement2->execute();
使用适当的值绑定结果表明我的查询确实不正确,自从我上次进行更新查询以来已经有一段时间了,我将其与插入查询的格式相同
Mark Baker的解决方案还修复了从数据库检索旧密码的问题。仅使用用户名检索信息是有效的。结果表明,我的查询确实不正确,我上次进行更新查询已经有一段时间了,我将其与插入查询的格式相同
Mark Baker的解决方案还修复了从数据库检索旧密码的问题。仅使用用户名检索信息有效。您正在更新表中的所有密码数据库中密码字段的最大长度是多少?我猜是的7@noobie-php为什么要使用MySQL哈希函数?PHP具有比MySQL更安全的哈希函数(例如
password\u hash()
使用bcrypt进行多轮操作)。用户在表单中输入密码>表单发送>PHP哈希从表单中输入>PHP将哈希存储在数据库中。这里一切正常。你说的“查询错误”是什么?你正在更新表中的所有密码数据库中密码字段的最大长度是多少?我猜是的7@noobie-php为什么要使用MySQL哈希函数?PHP具有比MySQL更安全的哈希函数(例如password\u hash()
使用bcrypt进行多轮操作)。用户在表单中输入密码>表单发送>PHP哈希从表单中输入>PHP将哈希存储在数据库中。这里一切都很好。你说的“查询错误”是什么?好的,谢谢你的快速响应,我会尝试一下,然后在我完成后再检查。解释得很好,逻辑性很强。where子句确实缺失,但尚未添加,因为表目前只有一个测试结果。。至于表格,它包含在$this->dballright中,感谢您的快速响应,我将尝试一下,并在完成后进行检查。解释得很好,逻辑性很强。where子句确实缺失,但尚未添加,因为表格目前只有一个测试结果。。至于表,它包含在$this->db中