【发布时间】:2013-02-08 16:12:40
【问题描述】:
我在使用 crypt() 时遇到问题,如果用户有密码(在本例中为密码 1),并且他们将其更改为密码 2,则散列会返回相同的结果。您可以在此处进行测试:旧链接 输入密码1作为当前密码,输入密码2作为新密码并确认密码,您将看到结果。如果输入完全不相似的密码,则没有问题。我知道还有其他方法可以散列密码等。我比什么都好奇。我的代码如下:
<?php
$oldpassword="password1";
echo "<form method=\"post\">
<p>Enter Current Password: <input type=\"password\" name=\"currentpassword\" /></p>
<p>Enter New Password: <input type=\"password\" name=\"password\" /></p>
<p>Confirm New Password: <input type=\"password\" name=\"confirmpassword\" /></p>
<p><input type=\"submit\" value=\"Change Password\"></p>
</form>";
$user_id = $_SESSION['user_id'];
$pass=$_POST['password'];
$salt = 'xxxxx';
$currentpassword = crypt($_POST['currentpassword'], $salt);
$oldpassword = crypt($oldpassword, $salt);
if(isset($_POST['password'])) {
if ($currentpassword !== $oldpassword) {
echo "The password you entered for current password does not match our records.";
}
else {
if ($_POST['password'] && $_POST['confirmpassword']) {
if ($_POST['password'] == $_POST['confirmpassword']) {
$hash = crypt($pass, $salt);
if ($hash == $currentpassword) {
echo "Current Password: ";
var_dump($_POST['currentpassword']);
echo "<br/>";
echo "New Password: ";
var_dump($_POST['password']);
echo "<br/>";
echo "New Hash: ";
var_dump($hash);
echo "<br/>";
echo "Current Password Hash: ";
var_dump($currentpassword);
echo "<br/>";
echo "<hr/>";
echo "Your new password cannot be the same as your current password.";
}
else {
echo "Your password has been changed successfully<br/>";
}
} else {
echo "Your passwords do not match. Please try again.";
}
}
}
}
?>
【问题讨论】:
-
如果您使用 bcrypt,请记住最大密码长度为 55 个字符。您尝试的密码是否比这更长?
-
你使用的是哪种 crypt() 算法?
-
@TML,似乎将字符串长度限制为 7 个字符。凯文,你不应该尝试为此编写自己的代码。使用 password_hash 或 Github 兼容包(在 cmets 中),它与 PHP 前向兼容
-
是的,password_hash() 也是我要建议的;我敢打赌,DES 正在被使用。
-
@KevinO'Brien 这就是我在 cmets 中提到 Github 链接的原因。它与 PHP >= 5.3.7 兼容