password_verify 在 if 语句中失败

Question

编辑：我猜星星只是失去了对齐，因为在重新加载页面并尝试再次使用它之后它可以工作。

---

我正在使用用户帐户创建一个简单的管理系统。我很难使用登录位，因为由于某种原因password_verify 在 if 语句中会失败。这可能与我从数据库中获取密码的方法有关，但我不确定。

这就是不工作的地方

$query = $db->query("SELECT * FROM users WHERE `username` = '" . $db->real_escape_string($_POST['username']) . "';");

if (!$query or $query == NULL)
{
    echo $db->error . "<br>";
    exit("EXIT: database error");
}

while ($row = $query->fetch_assoc())
{
    if (password_verify($_POST['password'], $row['password']))
    {   
        $db->close();
        header("LOCATION: main.php");
        exit;
    }
    else
    {
        header("LOCATION: index.php?error=Wrong password.");
        exit("wrong password<br>");
    }
}

如果我将if (password_verify($_POST['password'], $row['password'])) 替换为

$success = password_verify($_POST['password'], $row['password']);
if ($success)
// success

它按预期工作。我做($row = $query->fetch_assoc()) 有什么问题吗，还是我在其他地方犯了错误？我不明白为什么它在 IF 语句中不起作用。我确定我只是做了一些愚蠢的事情，但我终生无法弄清楚是什么。

使用后一种方法进行密码验证对我来说会是坏事还是被认为不好？

Answer 1

我似乎在这里的某个地方解决了这个问题：

if (!empty($_POST['password']))
{   
    while ($row = $query->fetch_assoc())
    {
        if (password_verify($_POST['password'], $row['password']))
        {                   
            $db->close();
            header("LOCATION: main.php");
            exit("EXIT: Logged in successfully.");
        }
        else
        {               
            header("LOCATION: index.php?error=Wrong password.");
            exit("EXIT: Wrong password");
        }
    }
}

我认为问题不是实际代码，而是我的数据库。我不知道它是否与它有关，但 phpmyadmin 显示我所有行的重复项。我对使用 SQL（今天）还是很陌生，所以我不知道这是否正常。也许我只需要给它时间来更新表格？谁知道呢。

Answer 2

1. 确保清理您的输入，永远不要简单地使用$_POST['password']，而是使用sanitize filter。

2. 对我来说，您的第一个代码块工作正常，而您的第二个代码块的括号不匹配。