Fatal编程技术网
  • php/
  • Php 尝试散列密码时在数据库中输入的空值

Php 尝试散列密码时在数据库中输入的空值

php

Php 尝试散列密码时在数据库中输入的空值,php,php-password-hash,Php,Php Password Hash,我过去曾在项目中少量使用过PHP,但我正在尝试一些新的尝试,尝试散列密码 在一个单独的页面上,有一个web表单,它在提交时重定向到checkRegistration.php表单,然后该表单连接到数据库,获取用户值,验证它们并将它们输入各自的列中 到目前为止,所有传递的值都输入正确,密码\u散列函数传递的值除外,这些值输入为“0”或空。我认为由于它是0,它没有得到正确的处理,我想知道我做错了什么 <?php $con = mysqli_connect("127.0.0.1","root","

我过去曾在项目中少量使用过PHP,但我正在尝试一些新的尝试,尝试散列密码

在一个单独的页面上,有一个web表单,它在提交时重定向到checkRegistration.php表单,然后该表单连接到数据库,获取用户值,验证它们并将它们输入各自的列中

到目前为止,所有传递的值都输入正确,密码\u散列函数传递的值除外,这些值输入为“0”或空。我认为由于它是0,它没有得到正确的处理,我想知道我做错了什么

<?php
$con = mysqli_connect("127.0.0.1","root","","projectdatabase");


if (mysqli_connect_errno())
 {
  echo "Failed to connect to MySQL: " . mysqli_connect_error();
 }

 $password_user_input = $_POST['password'];
 $options = array('cost' => 10);


$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','password_hash($password_user_input, PASSWORD_BCRYPT, $options)','$_POST[email]','$_POST[number]')";

if (!mysqli_query($con,$sql))
{
  die('Error: ' . mysqli_error($con));
}
  header("location:login.php");

mysqli_close($con);

您没有正确使用
密码\u hash()
函数,并且无法在值中传递函数

您可能已经或者应该已经收到一个错误,告诉您它是一个未定义的函数,或者密码列将包含
password\u散列(hashed\u password\u string,password\u BCRYPT,Array)
作为字符串。这是我在测试时收到的两个结果

这是你需要做的

您需要预定义变量并将其传递给函数


$password_user_input = $_POST['password'];
$options = array('cost' => 10);

$pass = password_hash($password_user_input, PASSWORD_BCRYPT, $options);

$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum) 
VALUES 
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','$pass','$_POST[email]','$_POST[number]')";




但是,使用此方法会使您面临更大的风险

使用,或者,它们更安全



下面是一个从ircmaxell的答案中提取的方法,使用PDO和准备好的语句

就用图书馆吧。认真地它们的存在是有原因的


    

  • PHP5.5+:使用
    • 

  • PHP5.3.7+:使用(上述的兼容包)
    • 

  • 所有其他:使用
    • 


不要自己动手。如果你自己制作盐,你做错了。你应该使用一个为你处理的库


$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);


登录时:


$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
    if (password_verify($_POST['password'], $users[0]->password) {
        // valid login
    } else {
        // invalid password
    }
} else {
    // invalid username
}



您确实应该使用。这可能是因为您没有向
password\u hash()
函数发送任何内容。请在文件顶部添加错误报告在打开
之后,如果
密码\u散列
失败,它将返回false,这可能会被保存为
0
,正如上面Jay所指出的,打开错误报告以查看失败的原因,密码是否安全并不重要,因为您可以通过直接在查询中插入POST值来进行SQL注入son它不起作用是因为
password\u hash
函数在一个字符串中。您可能应该对密码进行哈希运算并将其保存为变量。正如@JayBlanchard所说,使用准备好的语句。另外,
password
的MySQL列类型是什么?这是您的问题之一。将其设置为varchar(255),不是整数。非常彻底,很好work@scrowler谢谢。请注意,我不知道OP的网站上还有多少其他代码,但他目前使用的是mysqli,而不是PDO,所以最好用mysqli编写的语句给出一个示例。回答很好,+1。@Mike谢谢Mike。我喜欢使用ircmaxell的PDO示例作为一个通用的方法准备好的语句。但是,我同意应该有一个带有准备好的语句示例的
mysqli\uuu
,但是TBH,我还没有准备好一个。一旦我准备好了,我会把它作为我未来示例的一部分,并且可能在我到达我的编码机器后的这个答案中。我现在不在上面,但我会在今晚晚些时候,或者某个时候明天Cheers@Mike事实上,我认为所有需要从PDO示例中更改的都是
新的PDO(…)
$users=$result->fetchAll();
。其他所有内容都使用与
mysqli
相同的语法,即准备和执行。