4

sha1とsaltを使用してパスワードを保存する非常に単純なログイン/ユーザー登録スクリプトがあります。パスワードとユーザー作成は正常に機能し、すべてをデータベースに正常に保存していますが、資格情報を使用してログインしようとすると、機能しません。このトピックを検索しても何も見つからないようです。

これが私のユーザー追加フォームです:

session_start();
include("includes/resume.config.php");

// make sure form fields have a value and strip them
function check_input($data, $problem='')
{
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
if ($problem && strlen($data) == 0)
{
    die($problem);
}
    return $data;
}

// get form values, escape them and apply the check_input function
$name = $link->real_escape_string(check_input($_POST['name'], "Please enter a name!"));
$email = $link->real_escape_string(check_input($_POST['email'], "Please enter an email!"));
$password = $link->real_escape_string(check_input($_POST['password'], "Please enter a password!"));

// generate a random salt for converting passwords into MD5
$salt = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
$saltedPW =  $password . $salt;
$hashedPW = sha1($saltedPW);

mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());
// select the db
mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

 // our sql query
$sql = "INSERT INTO admins (name, email, password, salt) VALUES ('$name', '$email', '$hashedPW', '$salt');";

//save the updated information to the database          
mysqli_query($link, $sql) or die("Error in Query: " . mysqli_error($link));

if (!mysqli_error($link)) 
{
    header("Location: file_insert.php");
}

そして、これが私のログインスクリプトです:これは機能していないものです 

function check_input($data, $problem='')
{
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
if ($problem && strlen($data) == 0)
{
    die($problem);
}
    return $data;
}

if(isset($_POST['submitLogin'])) { //form submitted?

// get form values, escape them and apply the check_input function
$name = $link->real_escape_string(check_input($_POST['name'], "Please enter a name!"));
$password = $link->real_escape_string(check_input($_POST['password'], "Please enter a password!"));

$saltQuery = $link->query('SELECT salt FROM admins WHERE name = "'.$name.'"');

$salt = mysqli_fetch_assoc($saltQuery);
$saltedPW =  $password . $salt;
$hashedPW = sha1($saltedPW);

mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());
// select the db
mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

$validate_user = $link->query('SELECT id, name, password FROM admins WHERE name = "'.$name.'" AND password = "'.$hashedPW.'"');

if ($validate_user->num_rows == 1) {
    $row = $validate_user->fetch_assoc();
    $_SESSION['id'] = $row['id'];
    $_SESSION['loggedin'] = TRUE;
    Header('Location: file_insert.php');
} else {
    print "<center><p style='margin-top: 200px; font-weight: bold;'>Invalid Login Information</p>";
    print "<a href='admin-login.php'>Click here</a> to return to the login page.</center>";
}
}
4

2 に答える 2

3

もっと進んでいるかもしれませんが、確かにそれが機能しない理由の1つmysqli_fetch_assocは、配列を返し、それを文字列のように使用しているためです。

$password . $saltこの時点では配列であるため、PHPは、呼び出すときに配列から文字列への変換について文句を言います$salt。その結果Array、パスワードに単語が追加され、ハッシュが正しくなくなります。通知を非表示にするdisplay_errorsか、非表示にするように設定している場合、このメッセージは表示されません。error_reportingphp.ini

変更した場合:

$saltedPW =  $password . $salt;

に:

$saltedPW =  $password . $salt['salt'];

その後、それは動作するはずです。

さらに、$saltランダムに生成されるため、null、印刷不可、または一重引用符/二重引用符が含まれる可能性があるため、データベースに挿入する前にエスケープする必要があります。

于 2012-09-24T23:41:40.087 に答える
0

エラーメッセージが表示された場合は言わなかったが、投稿した内容から、接続の問題だと思う。

if(isset($_POST['submitLogin'])) { //form submitted?

// Here, you didn't connect to database, but you are expecting to fetch salt!
$saltQuery = $link->query('SELECT salt FROM admins WHERE name = "'.$name.'"');

$salt = mysqli_fetch_assoc($saltQuery);

したがって、最初にデータベースに接続する必要がある場合があります。

if(isset($_POST['submitLogin'])) { //form submitted?

mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());
// select the db
mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

// Here, you didn't connect to database, but you are expecting to fetch salt!
$saltQuery = $link->query('SELECT salt FROM admins WHERE name = "'.$name.'"');

次に、mysqli_fetch_assocは、SELECTクエリに埋め込んだもののフィールドとしてキー名を持つ配列を返します。最終的なコードは次のようになります。

if(isset($_POST['submitLogin'])) { //form submitted?

mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());
// select the db
mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

// Here, you didn't connect to database, but you are expecting to fetch salt!
$saltQuery = $link->query('SELECT salt FROM admins WHERE name = "'.$name.'"');
$salt = mysqli_fetch_assoc($saltQuery);
$saltedPW =  $password . $salt["salt"];
$hashedPW = sha1($saltedPW);
于 2012-09-24T23:47:15.167 に答える