Home / Questions / 33420
Accepted
Alberto Siurob
Asked: 2020-11-13 08:58:08 +0800 CST 2020-11-13 08:58:08 +0800 CST

PHP和MYSQL密码存储

  • 772

我需要知道hash() o password_hash()我正在制作应用程序的机制,并且我想加密以便将其存储在数据库中,并且当我想比较登录时输入的字符串时,它不会引发错误。例如

$pass="pepito";
$hashed_pass = password_hash($pass, PASSWORD_DEFAULT);
insert into tabla (password) values ($hashed_pass);

当我去咨询时,返回值,但解密发送加密的值

例如

$pass="pepito";
select password from tabla where password = $pass;

显然它会给我一个错误,因为在我必须将密码传递给哈希算法之前,但是我做了一些测试,每次我哈希它时,它都会完全改变算法,这会阻止我比较数据库中的密码并带来我的价值观

帮助,谢谢。

php

5 Answers

  1. Best Answer

    我将为您提供一个如何使用安全方法保存密码的示例password_hash(),我不会应用一个示例,因为例如md5有些页面我们可以轻松地解密密码md5

    http://md5cracker.org/

    让我们看看它是如何工作的password_hash(),它使用强大的单向哈希算法创建一个新的密码哈希。password_hash() 与 crypt() 兼容。因此,使用 crypt() 创建的密码哈希可以与 password_hash() 一起使用。

    //Obtenemos contraseña desde un form.
$contrasena = $_POST['contra'] ?: '';

//Encriptamos de manera segura la contraseña
$contrasena = password_hash(
                    base64_encode(
                        hash('sha256', $contrasena, true)
                    ),
                PASSWORD_DEFAULT
            );


//Sentencia SQL.
$stmt = $conexion->prepare("INSERT INTO tabla (password) VALUES (?)");

//Ligamos parametros marcadores.
$stmt->bind_param("s",$contrasena);

//Ejecutamos sentencia.
$stmt->execute();

//Cerramos sentencia.
$stmt->close();

    现在我们看看如何验证插入的密码hash_equals

    hash_equals— 针对定时攻击的安全字符串比较

    $contrasena = $_POST['contra'] ?: '';    

//Encriptamos de manera segura la contraseña
$contrasena = password_hash(
                    base64_encode(
                        hash('sha256', $contrasena, true)
                    ),
                PASSWORD_DEFAULT
            );

//Sentencia SQL
$stmt = $conexion->prepare("SELECT password FROM tabla WHERE password = ?";

//Ligamos parametros marcadores.
$stmt->bind_param("s",$contrasena);

//Ejecutamos sentencia.
$stmt->execute();  

$stmt->store_result();
if($stmt->num_rows===1) {

    $stmt->bind_result($contrasenaBD);
    $stmt->fetch();
    $stmt->close();

   if (hash_equals($contrasena,$contrasenaDB) {
      //Hacemos algo.
   }        

} else { $stmt->close(); }

    你的第二个问题的例子。

    if(isset($_REQUEST["login_pass"])){$login_pass = $_REQUEST["login_pass"];}else{$login_pass = "";}
require 'conexion.php';

$login_pass = "2000000";

$contrasena = password_hash(
    base64_encode(
        hash('sha256',$login_pass, true)
    ),
    PASSWORD_DEFAULT
);

//password_verify — Comprueba que la contraseña coincida con un hash, asique no debes volver a hashearla con password_hash.

$sql_in="SELECT LIDER_EXPLOIT FROM LIDERES WHERE LIDER_EXPLOIT ='".$contrasena."'";

$result = mysqli_query($conn,$sql_in);
$row=mysqli_fetch_array($result);

//Comprobación -> Contraseña -> OK
if (password_verify(
        base64_encode(
            hash('sha256', $login_pass, true)
        ),
        $row["LIDER_EXPLOIT"]
)) {

  echo 'es igual';
}
else
{
  echo 'no es igual';
}
    • 12

  2. 真的不建议保存这么容易解密的密码。如果最终密码可以通过通用方法破解,那么保持加密的意义何在?

    通常的做法是保存加密密码(例如MD5或SHA1),然后在进行比较时,写入要比较的字符串并与已存储在数据库中的加密密码进行比较。您可以使用 MD5 或 SHA1 函数在 PHP 或 MySQL 级别执行此加密。我给你一个链接,他们在最后讨论这个话题:http: //blog.aulaformativa.com/consultorio-desarrollo-web/

    • 1

  3. 像密码一样,它用它加密password_hash并返回一个字符串,如:

    $2y$10$Wvx7Sdsbt7L7BiGC0QuxYeqQVaGSsTd.NxQ9JMAbMNOK6zic2WkaO

    有一个函数可以比较哈希是否对应于以纯文本输入的密码。password_verify返回TRUEFALSE

    $hash = '$2y$10$Wvx7Sdsbt7L7BiGC0QuxYeqQVaGSsTd.NxQ9JMAbMNOK6zic2WkaO';

if(password_verify('123456', $hash)){
    echo 'Contraseña correcta.';
} else {
    echo 'Contraseña incorrecta.';
}
    • 1

  4. 早上好。

    我在将密码保存在 MD5 中时如何加密密码,我使用:$password = md5($_POST['password'])并插入我做:

    insert into tabla values ($password);

    要进行查询,我会

    select password from tabla where password = $password;
    • 0

  5. 根据他们告诉我的内容,我能够将这段代码放在一起:

    我输入了已经散列的密码,它们在数据库中已经是这样了,我做了这个代码:

    require 'conexion.php';
$sql = "SELECT LIDER_NOMINA FROM LIDERES";
$result = mysqli_query($conn,$sql);
while ($row=mysqli_fetch_array($result))
{
  $sql_in="UPDATE LIDERES SET LIDER_EXPLOIT =
  '".password_hash(base64_encode(hash('sha256',$row["LIDER_NOMINA"])),PASSWORD_DEFAULT)."' WHERE LIDER_NOMINA = '".$row["LIDER_NOMINA"]."'";
  mysqli_query($conn,$sql_in);
}

    现在我想比较密码,例如2000000. 我把这样的代码放在一起:

    if(isset($_REQUEST["login_pass"])){$login_pass = $_REQUEST["login_pass"];}else{$login_pass = "";}
require 'conexion.php';

$login_pass = "2000000";

$contrasena = password_hash(
    base64_encode(
        hash('sha256',$login_pass, true)
    ),
    PASSWORD_DEFAULT
);

$sql_in="SELECT LIDER_EXPLOIT FROM LIDERES WHERE LIDER_EXPLOIT ='".$contrasena."'";

$result = mysqli_query($conn,$sql_in);
$row=mysqli_fetch_array($result);
if (password_verify($contrasena,$row["LIDER_EXPLOIT"]))
{
  echo 'es igual';
}
else
{
  echo 'no es igual';
}

    但是我做不到,它返回给我“不一样”,我做错了什么?

    • 0