【发布时间】:2015-01-18 04:45:17
【问题描述】:
我正在使用两种方法。当用户创建帐户时,我调用此方法为他们创建安全密码哈希以保存到数据库中:
public function createPassword($password){
$salt = hash("sha256", time() . uniqid() . rand(1, 1000));
return crypt($password, $salt);
}
它返回一个盐,然后我将它保存到密码列中的数据库中。
接下来,当用户登录他/她的帐户时,我从数据库中选择他们的信息并将其传递给该函数,然后该函数应该验证他们的密码。
public function verifyPassword($password, $salt){
if(crypt($password, $salt) == $salt){
return true;
}
return false;
}
问题是我找到了一个密码,如果我输入正确的密码,它就可以工作,但是如果我在密码的末尾添加额外的字符,它仍然可以工作。这不应该发生。我做错了什么还是这是php中的错误?
为了安全起见,我没有使用下面的真实密码
// Create during registration
$salt = $obj->createPassword('abc123');
// Save to database here
然后:
// Get row from database save array $row
if($obj->verifyPassword($_POST["passwd"], $row["password"])){
// Log user in
}
这是我的测试:
abc123 // Works
abc12 // doesn't work
abc12jfjf // doesn't work
abc123123 // Works
abc123asdfadffa // Works
所以,看起来只要字符串以真实密码开头,后面的任何内容都可以......
【问题讨论】:
-
这是因为我使用的是 crypt,正如这里的描述:php.net/manual/en/faq.passwords.php#faq.passwords.bestpractice 说不要使用
==或===,因为它不起作用