Scr*_*t47 -2 php password-hash php-password-hash
为什么password_verify返回假?
该问题旨在规范,仅根据针对该主题提出的问题数量创建。
有多种原因password_verify可能导致返回false,其范围从表的设置到密码的实际比较,以下是导致密码失败的常见原因。
表中密码列的长度太短:
PASSWORD_DEFAULT话,建议将结果存储在可以扩展到超过60个字符的数据库列中(255个字符将是一个不错的选择)。PASSWORD_BCRYPT话,建议将结果存储在60个字符的数据库列中,因为PASSWORD_BCRYPT在失败时总是会导致60个字符串或FALSE。另一个常见的原因是,当开发人员尝试“清除”用户密码以防止其受到恶意攻击时,结果是,这导致输入与表中存储的内容不同。甚至没有必要转义输入,您应该使用准备好的语句。您甚至都不应该trim使用密码,因为这可能会更改最初提供的密码。
使用时,password_verify您需要将纯文本密码与数据库/文件/其他存储方法中的哈希进行比较,而不是比较哈希(此处的含义是您需要在用户注册时存储用户的哈希密码) :
<?php
$hashed = password_hash('test', PASSWORD_DEFAULT);
$password = 'test';
if (password_verify($password, $hashed)) {
echo 'success';
} else {
echo 'fail';
}
?>
确保password_verify通过转储将哈希传递给其他人,而不是其他人。
在您使用硬编码哈希且遇到问题的情况下,请确保在将值存储在变量中时使用单引号而不是双引号$,因为使用双引号时将解释为:
<?php
// Undefined variable: QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu :1
$incorrect = "$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu";
$correct = '$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu';
?>
Repl-分别注释掉。
var_dump()将注册后的哈希密码直接插入数据库之前,以及var_dump()将要从数据库中获取密码之后再次输入的password_verify()密码。确保两个哈希值相同。如果它们是相同的,并且明文密码也相同,则没有password_verify失败的理由。仅当哈希在通过数据库的往返过程中以某种方式被修改时,或者如果明文密码不同时,它才会失败。
确保您传递的是正确的算法以password_hash具有第二个参数。
根据文档:
注意强烈建议您不要为此功能生成自己的盐。如果您不指定盐,它将自动为您创建安全盐。
如上所述,在PHP 7.0中提供salt选项将生成弃用警告。在将来的PHP版本中可能会删除对手动提供盐的支持。
| 归档时间: |
|
| 查看次数: |
322 次 |
| 最近记录: |