使用 PHPPass 哈希密码问题

Question

我正在使用 PHPPASS 存储密码加密并在登录时进行比较。

这里是代码

ob_start();
$userName = $password = "";
$userNameErr = $passwordErr = $loginErr = "";
$hasher = new PasswordHash(8, false);

if (isset($_POST['subEmployee'])) {
    if (empty($_POST['user_name'])) {
        $userNameErr = "User name is required";

    } else {
        $userName = check_input($_POST['user_name']);
        if (!preg_match("/^[0-9_a-zA-Z]*$/", $userName)) {
            $userNameErr = "Only letters, numbers and '_' allowed";
        }
    }
    if (empty($_POST['password'])) {
        $passwordErr = "Password is required";
    }else{
        $password = check_input($_POST['password']);
    }

    $active = 1;
    $loginUser = $db->prepare("SELECT password FROM users WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);
    if ($loginUser->execute()) {
        $results = $loginUser->get_result();
        if ($results->num_rows == 1) {
            $row = $results->fetch_object();
            $stored_hash = "*";
            $stored_hash = $row->password;
            $check = $hasher->CheckPassword($password, $stored_hash);
            if ($check) {
                $_SESSION['name'] = $row->first_name;
                $_SESSION['userId'] = $row->id;
                $_SESSION['user'] = 1;
                print_r($_SESSION);
                header("Location:?pid=4");
            } elseif (!empty($_POST['user_name']) && !empty($_POST['password'])) {
                $loginErr = "'Invalid Login Information'";
            }
        }
    }
}

到目前为止，它总是给出相同的消息“无效登录信息”我已经制作了这样存储我的密码的注册表。

$hasher = new PasswordHash(8, false);
$hash = md5(rand(0, 1000));

if (empty($_POST['password'])) {
        $error ['passwordErr'] = "Password is required";
    } elseif (strlen($_POST['password']) < 8) {
        $error ['passwordErr'] = "<span class='notAllowed'>Chose password with at last eight characters</span>";
    } elseif (strlen($_POST['password']) > 72) {
        $error ['passwordErr'] = "<span class='notAllowed'>Password max 72 characters</span>";
    } elseif ($_POST['password'] !== $_POST['confirm']) {
        $error ['passwordErr'] = "Password don't matching";
    } else {
        $password = $hasher->HashPassword($password);
    }

当我检查我的数据库时，密码对我来说似乎是散列的，用户名在那里，一切都很好

但仍将此消息视为“无效登录信息”。

这两条线对吗

$loginUser = $db->prepare("SELECT password FROM users WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);

登录代码是否正常。

我也试试这个

更新 我更新了我的代码

if (isset($_POST['subEmployee'])) {
    $error=array();

    $hash_cost_log2 = 8;
    $hash_portable = FALSE;
    $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

    if (empty($_POST['user_name'])) {
        $userNameErr = "User name is required";

    } else {
        $userName = check_input($_POST['user_name']);
        if (!preg_match("/^[0-9_a-zA-Z]*$/", $userName)) {
            $userNameErr = "Only letters, numbers and '_' allowed";
        }
    }
    if (empty($_POST['password'])) {
        $passwordErr = "Password is required";
    } else {
        $password = $_POST['password'];
    }
    $active = 1;

    $loginUser = $db->prepare("SELECT password FROM hired_person_info WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);
    if ($loginUser->execute()) {
        $results = $loginUser->get_result();
        if ($results->num_rows == 1) {
            $row = $results->fetch_object();
            $stored_hash = "*";
            $stored_hash = $row->password;
            $check = $hasher->CheckPassword($password, $stored_hash);
            if ($check) {
                $_SESSION['name'] = $row->first_name;
                $_SESSION['userId'] = $row->id;
                $_SESSION['user'] = 1;
                print_r($_SESSION);
                header("Location:?pid=4");
            } elseif (!empty($_POST['user_name']) && !empty($_POST['password'])) {
                $loginErr = "'Invalid Login Information'";
            }
        } else {
            $loginErr = "'We didn't find any users'";
        }
    }
}

从 PHPass 的手册中添加这个

$hash_cost_log2 = 8;
        $hash_portable = FALSE;
        $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

仍然没有运气有人能告诉我这里哪里弄错了

编辑 这是我的check_input() 代码

function check_input($data) {
    $data = trim($data);
    $data = stripslashes($data);
    $data = htmlspecialchars($data);
    return $data;
}

我使用的是 PHP 5.3.29

谢谢

Answer 1

这些是我要检查的几点：

1) 在您的注册处理程序中，您直接检查 POST 变量，但是对于散列，您需要一个变量 $password，我将始终以相同的方式访问输入，例如：

$password = $hasher->HashPassword($_POST['password']);

2) 不建议将函数check_input() 用于密码，因为您计算了一个哈希值，而这个哈希值无论如何都是“安全的”。即使对于其他用户输入，也应该像您一样验证它，但是应该尽可能晚地进行转义，并且只针对特定的输出。所以函数htmlspecialchars()不应该被用户输入调用，但总是在输出到HTML之前。

3) 在您的登录处理程序中，您使用 POST 变量访问密码一次，使用变量 $password 访问密码一次。变量 $password 仅在 if 语句中设置，因此如果输入为空，则填充错误，但继续使用未初始化的 $password 变量。要么在开头填充变量，要么总是使用 POST 变量。

4) 由于您使用的是 PHP 5.3.29，因此您可以使用新函数 password_hash() 和 compatibility pack。我认为 PHPass 库不是这里的问题，但这里是新函数的示例。

// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);

// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

5) 另一个经常犯的错误是，存储哈希值的数据库字段太短，它需要一个 varchar(60) 的长度。也许您可以提供一个密码哈希（当然只是一个示例）？

Answer 2

此库需要 PHP >= 5.3.7 或具有向后移植 $2y 修复程序的版本（例如 RedHat 提供的）。