PHP 无法使用 password_hash()/password_verify() 使用正确的密码登录
PHP can not login with correct password using password_hash()/password_verify()
我检查了各种类似的报告,但找不到解决方案,因此将不胜感激。
我正在尝试创建一个 PHP signup/login 表单。除了密码验证之外,一切似乎都正常工作。这是代码的一部分,其中定义了 username/password 并从数据库请求进行验证:
$username = $_POST['username'];
$pwd = $_POST['pwd'];
....
....
....
else{
$sql = "SELECT * FROM users WHERE username=?;";
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)){
echo "MySQL Error!";
exit();
}
else{
mysqli_stmt_bind_param($stmt, 's', $username);
mysqli_stmt_execute($stmt);
$result= mysqli_stmt_get_result($stmt);
if ($row = mysqli_fetch_assoc($result)) {
$pwdCheck = password_verify($pwd, $row['password']);
if($pwdCheck == false){
header("Location: ../login.php?error=wrongpassword");
exit();
}
else if($pwdCheck == true){
session_start();
$_SESSION['userId'] = $row['id'];
$_SESSION['username'] = $row['username'];
header ("Location: ../login.php?login=success");
exit();
}
以下是一些需要考虑的事项:
我将数据库中的密码 table 设置为 LONGTEXT 和 varchar(250) - 还是不行。
这是 var_dump($pwdCheck, $pwd, $row['password'])
的输出
bool(false) string(8) "testtest" string(60) "$2y$10$nSMyRdh5RcjlKu.vaQMLHeRjmfYTqkjjdnM7HI4Di/294EBCpE1JG"
它 returns bool(false),而“testtest”是正确的密码,var_dump 显示的字符串是来自密码数据库 table 的正确哈希值。所以我真的不确定这里出了什么问题。
下面是密码的哈希处理方式(请注意,这是在单独的 PHP 脚本中完成的,不确定是否重要)
else{
$sql = "INSERT INTO users (username, mailuid, password, managername, teamname) VALUES (?,?,?,?,?)";
$stmt = mysqli_stmt_init($conn);
if (!mysqli_stmt_prepare($stmt, $sql)){
echo "MySQL Error";
}
else{
$hashpwd = password_hash($password, PASSWORD_DEFAULT);
mysqli_stmt_bind_param($stmt, "sssss", $username, $mailuid, $hashpwd, $managername, $teamname);
mysqli_stmt_execute($stmt);
header("Location: ../signup.php?signup=success");
exit();
}
其他一切都按预期工作。例如,用户名已成功从数据库中获取(用户名 table)。看起来散列通行证也是从密码数据库 table 中提取的,但验证仍然失败。
我创建了 a simple gist,您可以在其中看到我设法 运行 正确并获得正确结果的代码版本:
- 用户可以注册
- 用户可以登录
- 用户可以注销
我发现您的代码大体上是正确的,但我也相信您一定混淆了一些变量和字段名称。
在您的问题中,您做了 $row['pwdUsers'] 的 var_dump,这是插入语句中从未见过的字段。您还在 select 字段 username 获取数据以与提交登录的数据进行比较,但在插入语句中,您插入该字段的变量被命名为 $mailuid (而变量$username坐在它旁边)。
鉴于在受控环境中提取和应用时您的代码可以正常工作,我敢打赌您的错误可能是 mix-up 由前面提到的令人困惑的命名法引起的,或者是由于隐藏的其他一些逻辑造成的来自我们您提供的片段。
我检查了各种类似的报告,但找不到解决方案,因此将不胜感激。
我正在尝试创建一个 PHP signup/login 表单。除了密码验证之外,一切似乎都正常工作。这是代码的一部分,其中定义了 username/password 并从数据库请求进行验证:
$username = $_POST['username'];
$pwd = $_POST['pwd'];
....
....
....
else{
$sql = "SELECT * FROM users WHERE username=?;";
$stmt = mysqli_stmt_init($conn);
if(!mysqli_stmt_prepare($stmt, $sql)){
echo "MySQL Error!";
exit();
}
else{
mysqli_stmt_bind_param($stmt, 's', $username);
mysqli_stmt_execute($stmt);
$result= mysqli_stmt_get_result($stmt);
if ($row = mysqli_fetch_assoc($result)) {
$pwdCheck = password_verify($pwd, $row['password']);
if($pwdCheck == false){
header("Location: ../login.php?error=wrongpassword");
exit();
}
else if($pwdCheck == true){
session_start();
$_SESSION['userId'] = $row['id'];
$_SESSION['username'] = $row['username'];
header ("Location: ../login.php?login=success");
exit();
}
以下是一些需要考虑的事项:
我将数据库中的密码 table 设置为 LONGTEXT 和 varchar(250) - 还是不行。
这是 var_dump($pwdCheck, $pwd, $row['password'])
的输出bool(false) string(8) "testtest" string(60) "$2y$10$nSMyRdh5RcjlKu.vaQMLHeRjmfYTqkjjdnM7HI4Di/294EBCpE1JG"
它 returns bool(false),而“testtest”是正确的密码,var_dump 显示的字符串是来自密码数据库 table 的正确哈希值。所以我真的不确定这里出了什么问题。
下面是密码的哈希处理方式(请注意,这是在单独的 PHP 脚本中完成的,不确定是否重要)
else{
$sql = "INSERT INTO users (username, mailuid, password, managername, teamname) VALUES (?,?,?,?,?)";
$stmt = mysqli_stmt_init($conn);
if (!mysqli_stmt_prepare($stmt, $sql)){
echo "MySQL Error";
}
else{
$hashpwd = password_hash($password, PASSWORD_DEFAULT);
mysqli_stmt_bind_param($stmt, "sssss", $username, $mailuid, $hashpwd, $managername, $teamname);
mysqli_stmt_execute($stmt);
header("Location: ../signup.php?signup=success");
exit();
}
其他一切都按预期工作。例如,用户名已成功从数据库中获取(用户名 table)。看起来散列通行证也是从密码数据库 table 中提取的,但验证仍然失败。
我创建了 a simple gist,您可以在其中看到我设法 运行 正确并获得正确结果的代码版本:
- 用户可以注册
- 用户可以登录
- 用户可以注销
我发现您的代码大体上是正确的,但我也相信您一定混淆了一些变量和字段名称。
在您的问题中,您做了 $row['pwdUsers'] 的 var_dump,这是插入语句中从未见过的字段。您还在 select 字段 username 获取数据以与提交登录的数据进行比较,但在插入语句中,您插入该字段的变量被命名为 $mailuid (而变量$username坐在它旁边)。
鉴于在受控环境中提取和应用时您的代码可以正常工作,我敢打赌您的错误可能是 mix-up 由前面提到的令人困惑的命名法引起的,或者是由于隐藏的其他一些逻辑造成的来自我们您提供的片段。