数据库未更新-php PDO_Php_Mysql_Database_Pdo

数据库未更新-php PDO

php mysql database

数据库未更新-php PDO,php,mysql,database,pdo,Php,Mysql,Database,Pdo,我正在使用以下代码更新数据库中的密码和salt字段： // First we execute our common code to connection to the database and start the session require("common.php"); $id = $_GET[id]; // This if statement checks to determine whether the registration form has been submitted

我正在使用以下代码更新数据库中的密码和salt字段：

// First we execute our common code to connection to the database and start the session 
require("common.php"); 

 $id = $_GET[id];

// This if statement checks to determine whether the registration form has been submitted 
// If it has, then the registration code is run, otherwise the form is displayed 
if(!empty($_POST)) 
{  
    // Ensure that the user has entered a non-empty password 
    if(empty($_POST['password'])) 
    { 
        die("Please enter a password."); 
    } 

    // Ensure that the user has entered a non-empty username 
    if(empty($_POST['confirmpassword'])) 
    { 
        // Note that die() is generally a terrible way of handling user errors 
        // like this.  It is much better to display the error with the form 
        // and allow the user to correct their mistake.  However, that is an 
        // exercise for you to implement yourself. 
        die("Please confirm your password."); 
    } 

    if ($_POST["password"] == $_POST["confirmpassword"]) {

        // An INSERT query is used to add new rows to a database table. 
        // Again, we are using special tokens (technically called parameters) to 
        // protect against SQL injection attacks. 
        $query = "UPDATE Staff SET password=:password, salt=:salt WHERE id=:id"; 

        // A salt is randomly generated here to protect again brute force attacks 
        // and rainbow table attacks.  The following statement generates a hex 
        // representation of an 8 byte salt.  Representing this in hex provides 
        // no additional security, but makes it easier for humans to read. 
        $salt = dechex(mt_rand(0, 2147483647)) . dechex(mt_rand(0, 2147483647)); 

        // This hashes the password with the salt so that it can be stored securely 
        // in your database.  The output of this next statement is a 64 byte hex 
        // string representing the 32 byte sha256 hash of the password.  The original 
        // password cannot be recovered from the hash. 
        $password = hash('sha256', $_POST['password'] . $salt); 

        // Next we hash the hash value 65536 more times.  The purpose of this is to 
        // protect against brute force attacks.  Now an attacker must compute the hash 65537 
        // times for each guess they make against a password, whereas if the password 
        // were hashed only once the attacker would have been able to make 65537 different  
        // guesses in the same amount of time instead of only one. 
        for($round = 0; $round < 65536; $round++) 
        { 
            $password = hash('sha256', $password . $salt); 
        }  

        try 
        { 
            // Execute the query to create the user 
            $stmt = $db->prepare($query); 
            $stmt->execute(array(
            ':password' => $password,
            ':salt' => $salt,
            ':id' => $id)); 


        } 
        catch(PDOException $ex) 
        { 
            // Note: On a production website, you should not output $ex->getMessage(). 
            // It may provide an attacker with helpful information about your code.  
            die("Failed to run query: " . $ex->getMessage()); 
        } 

        // This redirects the user back to the login page after they register 
        header("Location: login.php"); 

    }

    die("Passwords do not match.");  
}

//首先，我们执行我们的公共代码来连接数据库并启动会话
要求（“common.php”）；
$id=$\u获取[id]；
//此if语句检查以确定是否已提交注册表
//如果有，则运行注册码，否则显示表单
如果（！空（$\u POST））
{  
//确保用户输入了非空密码
if（空（$_POST['password']））
{ 
死亡（“请输入密码”）；
} 
//确保用户输入了非空用户名
if（空（$\u POST['confirmpassword']））
{ 
//请注意，die（）通常是处理用户错误的糟糕方法
//像这样。用表单显示错误要好得多
//并允许用户纠正错误
//锻炼身体，让你实现自我。
死亡（“请确认您的密码”）；
} 
如果（$\u POST[“密码”]==$\u POST[“确认密码”]）{
//插入查询用于向数据库表中添加新行。
//同样，我们使用特殊标记（技术上称为参数）来
//防止SQL注入攻击。
$query=“updatestaff SET password=：password，salt=：salt，其中id=：id”；
//这里随机生成一个salt来再次保护暴力攻击
//和彩虹表攻击。下面的语句生成一个十六进制
//表示8字节的salt。用十六进制表示它提供
//没有额外的安全性，但让人更容易阅读。
$salt=dechex（兰特02147483647））。dechex（兰特02147483647））；
//这会将密码与salt散列，以便可以安全地存储密码
//下一条语句的输出是64字节十六进制
//表示密码的32字节sha256哈希的字符串。原始
//无法从哈希中恢复密码。
$password=hash（'sha256'，$\u POST['password'].$salt）；
//接下来我们对散列值65536进行多次散列
//防止暴力攻击。现在攻击者必须计算哈希65537
//他们根据密码进行的每次猜测的次数，而如果
//如果只进行一次哈希运算，攻击者将能够使65537不同
//猜测的时间相同，而不是只有一次。
对于（$round=0；$round<65536；$round++）
{ 
$password=hash（'sha256'，$password.$salt）；
}  
尝试
{ 
//执行查询以创建用户
$stmt=$db->prepare（$query）；
$stmt->execute（数组）(
':password'=>$password，
“：salt”=>$salt，
':id'=>$id））；
} 
捕获（PDO异常$ex）
{ 
//注意：在生产网站上，不应输出$ex->getMessage（）。
//它可能会向攻击者提供有关代码的有用信息。
die（“无法运行查询：”..ex->getMessage（））；
} 
//这会在用户注册后将其重定向回登录页面
标题（“Location:login.php”）；
}
死亡（“密码不匹配”）；
}

数据库中有一个“id”字段，id等于1的员工（上一页上的链接将id传递到此页，在本例中，id将为1）。我不知道为什么它没有更新数据库。我是php新手，希望能得到任何帮助

谢谢，

Joe

语法不正确，您想使用以下方法调用

$id

：

$id = $_GET['id'];

我认为当您执行

execute（array）blah

时，它会将所有变量视为字符串，所以请使用

您收到的错误消息是什么？

$id=$\u GET[id]

应该是

$id=$\u GET['id']

请使用真正的密码散列算法，如PHP的

password\u hash（）

function提供的算法

sha256

不适用于密码散列。这是在bcyrpt/PBKDF/类似项目上的一次犹太人区尝试，远远达不到这两个目标。我知道这有点老套，但这只是一次测试。没有错误，只是没有更新我已经更新了代码，但仍然没有更新数据库。谢谢，不是吗？嘎！是的，如果我不把自己的答案弄错的话，会有帮助的！这只会触发有关未定义常数的

E_通知

level错误（OP可能通过其

error_报告

level抑制该错误）。PHP仍然会将

id

转换为

'id'

，因此我高度怀疑这是问题所在。这并不能解决问题，还有其他想法吗？

$stmt ->bindParam(':password', $password, PDO::PARAM_STR)
$stmt ->bindParam(':salt', $salt, PDO::PARAM_STR)
$stmt ->bindParam(':id', $id, PDO::PARAM_INT)
$stmt ->execute();