sql >> Database teknologi >  >> RDS >> Mysql

Hvordan trækker man en saltet adgangskode tilbage fra databasen og godkendelsesbrugeren?

Ofte kæmper udviklere med verificeringen af ​​en login-adgangskode, fordi de ikke er sikre på, hvordan de skal håndtere den gemte adgangskode-hash. De ved, at adgangskoden skal hashes med en passende funktion såsom password_hash( ) , og gem dem i en varchar(255) felt:

// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT);

I login-formularen kan vi ikke verificere adgangskoden direkte med SQL, og vi kan heller ikke søge efter den, fordi de lagrede hashes er saltede. I stedet...

  1. skal læse password-hashen fra databasen ved at søge efter bruger-id'et
  2. og bagefter kan kontrollere login-adgangskoden mod den fundne hash med password_verify() funktion.

Nedenfor kan du finde et eksempel på kode, der viser, hvordan du udfører adgangskodebekræftelse med en mysqli forbindelse. Koden har ingen fejlkontrol for at gøre den læsbar:

/**
 * mysqli example for a login with a stored password-hash
 */
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');

// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['username']); // it is safe to pass the user input unescaped
$stmt->execute();

// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true)
{
  // Check whether the entered password matches the stored hash.
  // The salt and the cost factor will be extracted from $hashFromDb.
  $isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}

Bemærk, at eksemplet bruger forberedte sætninger for at undgå SQL-injektion, escape er ikke nødvendigt I dette tilfælde. Et tilsvarende eksempel at læse fra en pdo forbindelse kunne se sådan ud:

/**
 * pdo example for a login with a stored password-hash
 */
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);

// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['username'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();

// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false)
{
  $hashFromDb = $row['password'];

  // Check whether the entered password matches the stored hash.
  // The salt and the cost factor will be extracted from $hashFromDb.
  $isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}



  1. Sådan kalder du en lagret procedure i JDBC

  2. Hvordan får jeg oplysninger om dato/klokkeslæt fra en TIMESTAMP-kolonne?

  3. Konfigurationssystemet kunne ikke initialiseres

  4. Stop med at få SQL Server til at udføre dit beskidte arbejde