PHP 不能在 PDO 查询中使用散列密码
PHP Can't use a hashed password in a PDO query
我目前是一名 3 年级的网络开发学生,对于一个学校项目,我们必须使用 PDO 和哈希构建一个具有更改密码功能的网站,但是我 运行 遇到了一个问题我我自己无法解决,我也没有在 google 和 Whosebug 上找到任何类似的问题。
我们必须在数据库中存储2个密码,旧密码(即用户最后一次使用的密码);和他们当前的密码(将用于登录。)
所有密码都使用标准 PHP 散列存储(password_hash() 方法)
更改用户密码时,我必须从数据库中获取当前密码(用于登录的密码),并将其移动到oldpassword(最后使用的密码)列,同时将新的散列密码放入数据库。
问题是:我似乎无法在 PDO 查询中使用散列密码,我确实需要指出我以前从未使用过 PDO,但是在谷歌搜索了一下之后,我认为我的查询没有错误,但是传递给该查询的数据有错误。
这是我从数据库中获取所有当前数据的地方
/*prepare and execute a query*/
$sqlStatement = $this->db->prepare("SELECT username, password, oldpassword FROM users WHERE username = :username");
$sqlStatement->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement->execute();
/*Fetch the query results*/
$values = $sqlStatement->fetch(PDO::FETCH_ASSOC);
这是我尝试使用 PDO SQL 查询将数据存储到数据库中的地方
/*Create variables to use in querys*/
$queryPassword = password_hash($password, PASSWORD_DEFAULT);
/*Update the passwords*/
$sqlStatement2 = $this->db->prepare("UPDATE password, oldPassword VALUES (:password, :oldpassword)");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->execute();
$password 和 $username 是从表单传递到函数以更改用户密码的变量。
public function updateUserPasswords($username, $password){
我觉得奇怪的是:如果我对 $values["password"] 执行 var_dump,我会得到以下数据:
字符串(60)“$2y$10$BBCpJxgPa8K.iw9ZporxzuW2Lt478RPUV/JFvKRHKzJhIwGhd1tpa”
我的查询错误为我提供了以下数据:
$2y$10$
好像只有散列被发送到查询。
==编辑==
发送到浏览器的 SQL 错误是:
Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'VALUES ('y$AC.aMG/gNV9zwGB/v/g7keW9jsZ80kuejrSh693DPuhOYChFxA6wu', 'y$' at line 1' in /srv/jip/www/www.jip.nl/classes/user.class.php:92 Stack trace: #0 /srv/jip/www/www.jip.nl/classes/user.class.php(92): PDOStatement->execute() #1 /srv/jip/www/www.jip.nl/pages/first_login.php(26): User->updateUserPasswords('username', 'password') #2 {main} thrown in /srv/jip/www/www.jip.nl/classes/user.class.php on line 92
不要使用散列密码检索数据,因为 password_hash() 每次使用都会生成具有不同盐的新散列
仅使用用户名检索记录,然后使用password_verify()验证密码
编辑
您的更新查询引用了列,但没有 table,并且没有 WHERE 子句:
$sqlStatement2 = $this->db->prepare("UPDATE users SET password=:password, oldPassword=:oldpassword WHERE username = :username");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement2->execute();
绑定适当的值
原来我的查询确实不正确,自从我上次进行更新查询以来已经有一段时间了,我把它放在与插入查询相同的格式中。
Mark Baker 的解决方案还解决了从数据库中检索旧密码的问题。仅使用用户名检索信息已成功。
我目前是一名 3 年级的网络开发学生,对于一个学校项目,我们必须使用 PDO 和哈希构建一个具有更改密码功能的网站,但是我 运行 遇到了一个问题我我自己无法解决,我也没有在 google 和 Whosebug 上找到任何类似的问题。
我们必须在数据库中存储2个密码,旧密码(即用户最后一次使用的密码);和他们当前的密码(将用于登录。)
所有密码都使用标准 PHP 散列存储(password_hash() 方法)
更改用户密码时,我必须从数据库中获取当前密码(用于登录的密码),并将其移动到oldpassword(最后使用的密码)列,同时将新的散列密码放入数据库。
问题是:我似乎无法在 PDO 查询中使用散列密码,我确实需要指出我以前从未使用过 PDO,但是在谷歌搜索了一下之后,我认为我的查询没有错误,但是传递给该查询的数据有错误。
这是我从数据库中获取所有当前数据的地方
/*prepare and execute a query*/
$sqlStatement = $this->db->prepare("SELECT username, password, oldpassword FROM users WHERE username = :username");
$sqlStatement->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement->execute();
/*Fetch the query results*/
$values = $sqlStatement->fetch(PDO::FETCH_ASSOC);
这是我尝试使用 PDO SQL 查询将数据存储到数据库中的地方
/*Create variables to use in querys*/
$queryPassword = password_hash($password, PASSWORD_DEFAULT);
/*Update the passwords*/
$sqlStatement2 = $this->db->prepare("UPDATE password, oldPassword VALUES (:password, :oldpassword)");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->execute();
$password 和 $username 是从表单传递到函数以更改用户密码的变量。
public function updateUserPasswords($username, $password){
我觉得奇怪的是:如果我对 $values["password"] 执行 var_dump,我会得到以下数据:
字符串(60)“$2y$10$BBCpJxgPa8K.iw9ZporxzuW2Lt478RPUV/JFvKRHKzJhIwGhd1tpa”
我的查询错误为我提供了以下数据:
$2y$10$
好像只有散列被发送到查询。
==编辑==
发送到浏览器的 SQL 错误是:
Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'VALUES ('y$AC.aMG/gNV9zwGB/v/g7keW9jsZ80kuejrSh693DPuhOYChFxA6wu', 'y$' at line 1' in /srv/jip/www/www.jip.nl/classes/user.class.php:92 Stack trace: #0 /srv/jip/www/www.jip.nl/classes/user.class.php(92): PDOStatement->execute() #1 /srv/jip/www/www.jip.nl/pages/first_login.php(26): User->updateUserPasswords('username', 'password') #2 {main} thrown in /srv/jip/www/www.jip.nl/classes/user.class.php on line 92
不要使用散列密码检索数据,因为 password_hash() 每次使用都会生成具有不同盐的新散列
仅使用用户名检索记录,然后使用password_verify()验证密码
编辑
您的更新查询引用了列,但没有 table,并且没有 WHERE 子句:
$sqlStatement2 = $this->db->prepare("UPDATE users SET password=:password, oldPassword=:oldpassword WHERE username = :username");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement2->execute();
绑定适当的值
原来我的查询确实不正确,自从我上次进行更新查询以来已经有一段时间了,我把它放在与插入查询相同的格式中。
Mark Baker 的解决方案还解决了从数据库中检索旧密码的问题。仅使用用户名检索信息已成功。