我在用户登录我的应用程序时验证密码时遇到一些问题 - 这是一项正在进行中的工作,我完全清楚安全性是不完整的,可以攻击但是没有发布我我正在测试。
我使用:password_hash($password, PASSWORD_DEFAULT);
我现在想要验证这一点,但我的脚本似乎失败了,我知道在哪里但是我不知道我需要更改什么才能进行验证,因为我已经从程序更改为OOP。
$email = mysqli_real_escape_string($con, $_POST['email']);
$password = mysqli_real_escape_string($con, $_POST['password']);
$query = "SELECT * FROM users WHERE (email = '". $email ."') AND password = '". $password ."'" ;
$result = $con->query($query);
if ($result->num_rows === 1) {
$row = $result->fetch_array(MYSQLI_ASSOC);
if (password_verify($password, $row['password'])) {
$_SESSION['email'] = $email;
$_SESSION['id'] = $id;
$row = mysqli_fetch_assoc($result);
$_SESSION['email'] = $row['email'];
$_SESSION['id'] = $row['id'];
header('Location: ../dashboard/index');
}else{
header('Location: ../index.php?message=Email address or password is incorrect');
}
}
我知道脚本在验证发生的if语句中失败,因为它为登录脚本文件提供了一个空白页面(上图)。我只是回答'hi'进行测试,这是会话代码,这似乎是问题所在。
答案 0 :(得分:1)
更改这两行,它应该有效。
$password = mysqli_real_escape_string($con, $_POST['password']);
$password = $_POST['password'];
$query = "SELECT * FROM users WHERE (email = '". $email ."') AND password = '". $password ."'" ;
$query = "SELECT * FROM users WHERE (email = '". $email ."')" ;
您将无法从通过帖子提交的密码中选择密码,因为存储的密码已经过哈希处理。
每个电子邮件只能在表格中包含一个条目,但是如果需要,可以检查返回的行数是否等于1。