1

パスワードのハッシュ化とソルト化について学び始めて以来、私は自分のコードで多くの問題を抱えてきました。最初に、MD5 を使用してパスワードを「ハッシュ」する方法を学び (もうやめてください)、次にハッシュと SHA256 を使用し、最後に bcrypt を使用します (または、少なくとも bcrypt だと思います)。今のところ私の登録コードは次のとおりです。

register.php

<html>
<head>
<title>PDO - hashing algorithm</title>
</head>
<body>
    <?php
        if(isset($_POST['submit'])) {
            define( "DB_DSN", "mysql:host=localhost;dbname=test" );
            define ( "DB_USER", "root" );
            define ( "DB_PASS", "" );

            try {
            $connect = new PDO (DB_DSN, DB_USER, DB_PASS);
            $query = "CREATE TABLE IF NOT EXISTS `users` (
                    `id` INT(11) PRIMARY KEY AUTO_INCREMENT NOT NULL,
                    `username` VARCHAR(100) NOT NULL,
                    `password` VARCHAR(500) NOT NULL
            )ENGINE=InnoDB DEFAULT CHARACTER SET utf8 DEFAULT COLLATE utf8_swedish_ci;";
            $stmt = $connect->prepare($query);
            $stmt->execute();

            } catch (PDOException $e) {
                echo $e->getMessage();
            }
            // Let's hash the password
            $salt = substr(str_replace('+', '.', base64_encode(sha1(microtime(true), true))), 0, 22);
            $hashedpassword = crypt($_POST['password']. '$2a$12$' .$salt);
        try {
        $query = "INSERT INTO `users` (`username`, `password`) VALUES (:username, :password)";
        $stmt = $connect->prepare($query);
        $stmt->execute(array(
                            ':username' => $_POST['username'],
                            ':password' => $hashedpassword
                        ));
                if ($stmt->rowCount() == 1) {
                    echo "Well done, user has registered successfully";

                } else {
                    echo "An error occured.. Please try again";
                }
        } catch (PDOException $e) {
            echo $e->getMessage();  
        }
    }
    ?>
    <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
    <p>Username: <input type="text" name="username"/></p>
    <p>Password: <input type="password" name="password" /></p>
    <input type="submit" name="submit" />
    </form>
</body>
</html>

このコードは機能し、パスワードを暗号化するので、それは私の主な質問ではありませんでした。私の主な質問は、ログインページを作成するときに、ユーザーが入力したパスワードとデータベースに保存されているパスワードをどのように比較するのですか?

これが私のlogin.php atmです。私にはわからないが、これを機能させることができない場合は教えてください。データベースからユーザー名とパスワードが出力されません。

<?php
        try {
        define( "DB_DSN", "mysql:host=localhost;dbname=test" );
        define ( "DB_USER", "root" );
        define ( "DB_PASS", "" );

            $connect = new PDO (DB_DSN, DB_USER, DB_PASS);

        } catch (PDOException $e) {

            echo $e->getMessage();
        }

        if(isset($_POST['submit'])) {

        $query = "SELECT * FROM `users` WHERE (username) = :username";
        $stmt = $connect->prepare($query);
        $stmt->execute(array(
                        ':username' => $_POST['username']
                        ));
            if($stmt->rowCount() == 0) {
                echo "User doesn't exist";
            } 
                $row = $stmt->fetch();

                if (crypt($_POST['password'], $row['password']) == $row['password']) {
                    echo $row['username']. $row['password'];
                } else {
                    return false;
                }
        }
    ?>
4

1 に答える 1

1

その方法に関するチュートリアルについては、このリンクを参照してください: Using bcrypt to store passwords

編集:

うまくいけば役立つようにここに投稿する作業コードのいくつかを見つけました。

まず、カスタム関数を使用します。

function better_crypt($input, $rounds = 7){
    $salt = "";
    $salt_chars = array_merge(range('A','Z'), range('a','z'), range(0,9));
    for($i=0; $i < 22; $i++) {
        $salt .= $salt_chars[array_rand($salt_chars)];
    }

    return crypt($input, sprintf('$2a$%02d$', $rounds) . $salt);
}

次に、アカウントが最初に作成されたときに、$password_hash をデータベースに保存します。

$password_hash = better_crypt($_POST['password']);

次に、ログイン時に、送信されたパスワードとデータベース内のパスワード ハッシュを比較します。

// $password = submitted login form password
// $row['password'] = the password hash in the database
if(crypt($password, $row['password']) == $row['password']) {
//Success!
于 2013-05-23T00:31:07.207 に答える