所以我有一个注册页面和一个登录页面,注册页面工作得很好,但登录页面似乎没有用,我似乎无法弄明白。
我的数据库似乎正在工作,因为我能够将哈希密码回显到登录页面,它似乎与某些事情有关 password_verify()
注册页面(工作)
<?php
include("assets/includes/conn.php");
$user = $_POST['username'];
$pass = $_POST['pass'];
$cPass = $_POST['c-pass'];
$email = $_POST['email'];
$options = [
'cost' => 11
];
if($pass == $cPass){
$stmt = $conn->prepare("INSERT INTO users (username, pass, email) VALUES (?, ?, ?)");
$stmt->bind_param("sss", $user, $h_p, $email);
$user = $_POST['username'];
$h_p = password_hash($pass, PASSWORD_DEFAULT, $options)."\n";
$email = $_POST['email'];
$stmt->execute();
echo "Created";
echo $h_p;
$stmt->close();
$conn->close();
}
登录页面(不工作)
<?php
include("assets/includes/conn.php");
$username = $_POST['username'];
$password = $_POST['pass'];
$sql = "SELECT * FROM users WHERE username = '$username'";
$result = $conn->query($sql);
if ($result->num_rows == 1){
$row = $result->fetch_assoc();
$hash = $row['pass'];
if(password_verify($password, $hash)){
echo "Yes";
} else {
echo "No<br/>";
echo "" . $hash . "<br/>";
echo $password;
}
}
答案 0 :(得分:8)
这里的问题是\n in:
$h_p = password_hash($pass, PASSWORD_DEFAULT, $options)."\n";
^^
是(无形)在密码/哈希末尾添加carriage return/linefeed。
您可以删除它。
$h_p = password_hash($pass, PASSWORD_DEFAULT, $options);
或trim()它:
$h_p = password_hash($pass, PASSWORD_DEFAULT, $options)."\n";
$h_p = trim($h_p);
老实说,我不知道为什么password_hash()上的手册没有提及它及其用于将其存储在数据库(或文件)中的用法。
注意:这里尚未使用的文档是指定 变量到这个例子就是这里问题所做的。有些人可能认为使用该示例并为其分配变量将起作用; 它赢了;不是为了存储哈希,然后在之后验证它。
手册中的示例如下:
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n";
但是这样做:
$var = password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n";
实际上(理论上)包含一个61长的字符串(因为换行换行符),而不是没有换行符的预期的60。
运行时,它会输出如下内容:
$2y$10$494GPYzaynEkfYxE3wcAj.OtwBU3CCwTMXOHKbdJmOqwMXRmq6v1u 61
以防万一以后网址为404,以下是上述代码:
<?php
$foo = password_hash('mypass', PASSWORD_DEFAULT)."\n";
echo $foo;
echo strlen($foo);
补充说明;您也应该像SELECT那样为INSERT使用准备好的陈述;它更安全。