PHP crypt() 返回错误答案答案

【问题标题】：PHP crypt() returning wrong answerPHP crypt() 返回错误答案
【发布时间】：2011-03-10 11:11:49
【问题描述】：

我想我在这里失去了我的弹珠......我的网站出现了一个问题，它随机停止接受登录。我现在已经能够追踪到 crypt() 的行为非常奇怪。

在我的数据库中，我有用户密码的加密版本 - 所以我们说 Og12345678。

当用户登录时，他们输入他们的密码，我从数据库中读取 salt，然后加密他们输入的内容并进行比较 - 通常这很有效。

所以我正在做 crypt($enteredPassword, $saltFromDb) - 在这种情况下，盐当然是 Og。通常对于给定的用户密码 crypt 工作正常。

当事情出错时（当他们出错时，这是一个永久性更改，直到我重新启动 Apache）我发现 crypt 开始为相同的输入返回一个不同的答案，使用相同的盐。

然而，它是一致的，即一旦系统出错，crypt 返回错误的答案，但它总是返回 same 错误的答案。页面的重复刷新显示相同的输出。同样的盐也出现在新的不正确的 crypt 结果中，所以并不是盐在某个地方丢失了。

如果我随后重新启动 Apache 并重新运行脚本而不做任何更改，那么来自 crypt 的结果就会恢复到应有的状态。

我很欣赏它不是最新的 PHP (5.2.8)，但我会重视对此的任何看法，包括它是否是在更高版本中修复的已知错误（升级 PHP 并不是一项令人愉快的任务，因为有很多网站，其中一些仍在使用不幸的怪癖，每次升级都需要重新测试） - 如果它是一个已知的固定错误，那么显然我会尽快升级它，除此之外它可能更容易从外部外包地下室，因为我只使用它位于我网站的一个公共位置。

任何意见表示赞赏。

马特·佩德尔斯登

--- 更新：2011 年 3 月 11 日

更正先前给出的有关操作系统的评论... - 操作系统为 Windows Server 2008 SP1 64 位。道歉我应该仔细检查而不是假设我能记住！机器是戴尔 2950 8gb 内存，至强处理器。

我开始按照 Krtek 建议的思路思考 - 当系统出现问题时，如果我生成新的 crypt()（即一个非常简单的示例，我将变量设置为字符串，将其加密，然后与地穴） - 一切都很好。当我重新启动服务器时，它又回到了以前的计算。所以我肯定倾向于改变用于计算 crypt() 结果的算法...关于可能导致这种情况发生的任何想法？我打印出 CRYPT_STD_DES 等的值，它们在重新启动之间不会改变。

有人知道什么可能导致这种情况发生吗？

昨天一天内似乎发生了两次，最奇怪的是。

感谢到目前为止的回答。

--- 更新：2011 年 3 月 16 日

只是想提供另一个更新。

这仍在发生，仍然没有进一步了解原因。

如果将来有人遇到这种情况，我认为我的解决方案将是做一些讨厌的 hack，将所有 crypt() 执行推送到外部 C# 应用程序，并且不再依赖 PHP 来执行做他们。某处出了点问题，此时我能看到的唯一解决方案是将其从方程式中完全删除。

当然，如果它仍然发生，那也将很有趣！ :)

谢谢大家。

【问题讨论】：

我认为这不太可能是您的问题，但我看到 PHP 文档中的建议 -- php.net/manual/en/function.crypt.php -- 是您应该将整个（加盐的）加密密码作为盐。 if (crypt($enteredPassword,$cryptedPasswordFromDB) == $cryptedPasswordFromDB) { ... }。关键似乎是 crypt() 可以从 $cryptedPasswordFromDB 确定正在使用的散列算法。同样，我怀疑这是否是您的问题的原因，但您可以试一试...
是否有可能比脚本更改某些 php 配置导致 crypt 使用不同的哈希函数？就像@Gareth 所说的那样，从数据库传递完整的密码可以解决这个问题。
我开始按照 Krtek 建议的思路思考 - 当系统出现问题时，如果我生成新的 crypt()（即一个非常简单的示例，我将变量设置为字符串，crypt它然后与地穴进行比较） - 一切都很好。当我重新启动服务器时，它又恢复了工作。所以我肯定倾向于改变用于计算 crypt() 结果的算法......关于可能导致这种情况发生的任何想法？我打印出 CRYPT_STD_DES 等的值，它们在重新启动之间不会改变。

标签： php crypt

【解决方案1】：

你为什么要读盐？你是怎么弄到盐的？不同的算法使用不同的方法在输出中包含盐。

只需使用 crypt 函数的整个输出作为第二个参数：

  $crypted='Og12345678';
  if (crypt($_POST['password'], $crypted)==$crypted) {
      ....

单程 DES 呢？真的吗？

上次我查看时，PHP crypt 实现会调用系统提供的 crypt() 函数 - 所以如果它已经损坏，那么它更有可能是你的操作系统而不是 PHP - 但你没有说你的操作系统是什么.

【讨论】：

操作系统是 Windows Server 2008 SP2。感谢您的 cmets。
只让我添加单行注释 :) - 我已调整代码以在 crypt() 命令中使用完整密码，当系统再次出错时，这并没有帮助。
是的，单通道 DES，该系统是很久以前编写的，老实说，它甚至不能保护任何远程安全，它只是让人们从站点下载文件。整个网站都准备在某个时候重新开发新技术。但是，是的，点了:)
erk，如果问题确实是 crypt() fn（而不是 PHP/数据库代码中的其他地方），那么您可以尝试使用河豚加密密码 - IIRC，MSWindows 不提供河豚实现 - 因此，如果您在那里得到相同的行为，则表明 PHP 实现 crypt() 而不是操作系统存在问题。
大概这意味着重新加密数据库中的所有密码，但如果不强制所有用户重新输入新密码，我无法做到这一点，因为我不存储明文版本。不过我会把它放在我的后口袋里……谢谢！

【解决方案2】：

可能是 Suhosin PHP 安全补丁影响了您的 crypt() 函数。它改变了很多加密/随机方法，可能是您的问题的原因。

检查 phpinfo() 并查看 'suhosin' 是否在页面上的任何位置。如果它在那里，请考虑在 php 配置中禁用它的一些功能。

【讨论】：

感谢您的 cmets，我检查了 phpinfo() 并没有在任何地方提到任何 suhosin 位，所以我认为这不适用。

【解决方案3】：

我在 crypt 上遇到了同样的问题...我在 2 台服务器上进行了登录检查，但是当我将它转移到最新的服务器时，它最终停止工作。我使用 md5 加密绕过它，如下所示：在 register.php 中

 $encrypted = md5($_POST["pass"]);
 ...

然后在 login.php 中

$password = md5($_POST["password"]);
 if ($password == $row["hash"])
        {
            // remember that user's now logged in by storing user's details in session
            $_SESSION["id"] = $row["id"];
            $_SESSION['username'] = $_POST['username'];
            $_SESSION['logged'] = 'Yes';
            // redirect to homepage
            redirect("index.php");
        }

希望对你有帮助:)

【讨论】：

【解决方案4】：

我遇到了同样的问题。自从将我的 vTigerCRM 安装移动到本地计算机后，使用以前存储的密码登录的用户开始失败。似乎 crypt() 在不同的环境中使用相同的参数返回不同的哈希值：

在本地环境中：

SYSTEM: Windows NT 6.1 build 7601 (Business Edition Service Pack 1) i586
PHP: 5.3.5

crypt('hello world','$1$ad0000000'):

     $1$ad00000008tTFeywywdEQrAl9QzV.M1

关于生产环境：

SYSTEM: Linux 2.6.18-338.9.1.el5.lve0.8.32 #1 x86_64
PHP: 5.3.5

crypt('hello world','$1$ad0000000'):

    $1$ad000000$8tTFeywywdEQrAl9QzV.M1

【讨论】：

我敢打赌这不是 crypt() 问题，它只是 Windows :P 如果你在 RedHat、Solaris、Debian 等其他非 Windows 操作系统中使用相同的参数会发生什么？