为啥 password_verify 返回 false？

Posted 2023-02-24

【中文标题】为啥 password_verify 返回 false？

【英文标题】：Why is password_verify returning false?为什么 password_verify 返回 false？

【发布时间】：2014-03-11 13:47:50

【问题描述】：

我正在使用password_verify 来检查我的散列密码。我有 php 5.5：

   $this->db_connection = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);


        // if no connection errors (= working database connection)
        if (!$this->db_connection->connect_errno) 

            // escape the POST stuff
            $user_name = $this->db_connection->real_escape_string($_POST['user_name']);

            // database query, getting all the info of the selected user (allows login via email address in the
            // username field)
            $sql = "SELECT user_name, user_email, user_password_hash
                    FROM users
                    WHERE user_name = '" . $user_name . "' OR user_email = '" . $user_name . "';";
            $result_of_login_check = $this->db_connection->query($sql);

            // if this user exists
            if ($result_of_login_check->num_rows == 1) 

                // get result row (as an object)
                $result_row = $result_of_login_check->fetch_object();

                // using PHP 5.5's password_verify() function to check if the provided password fits
                // the hash of that user's password


                if (password_verify($_POST['user_password'], $result_row->user_password_hash)) 

                    // write user data into PHP SESSION (a file on your server)
                    $_SESSION['user_name'] = $result_row->user_name;
                    $_SESSION['user_email'] = $result_row->user_email;
                    $_SESSION['user_login_status'] = 1;

我在password_verify 上收到false。我已经检查了帖子值和 mysql user_password_hash 返回。

我不知道为什么它返回 false

有什么想法吗？

【问题讨论】：

你使用password_hash创建密码吗？

是的，$user_password = $_POST['user_password_new']; $user_password_hash = password_hash($user_password, PASSWORD_DEFAULT);

【参考方案1】：

可能问题出在您的列长度上，来自手册： 建议将结果存储在可以扩展超过 60 个字符的数据库列中（255 个字符是一个不错的选择）。 link

【讨论】：

数据库中的散列密码字段最好使用CHAR数据类型，使用PASSWORD_BCRYPT常量时设置长度为60。在这种情况下，哈希值将始终为 60 个字符。

只是添加了一个我遇到的问题：当我在 html 上生成密码哈希时，我总是在末尾复制一个空格，所以它从来没有用过。

【参考方案2】：

password_verify 可能返回 false 的原因有多种，从表的设置到密码的实际比较都有，以下是它失败的常见原因。

列设置

你表中密码列的长度太短：

如果您使用的是PASSWORD_DEFAULT，则建议将结果存储在可以扩展超过 60 个字符（255 个字符是一个不错的选择）的数据库列中。 如果您使用的是PASSWORD_BCRYPT，则建议将结果存储在 60 个字符的数据库列中，因为PASSWORD_BCRYPT 将始终导致 60 个字符的字符串或失败时为 FALSE。

密码清理

另一个常见原因是当开发人员试图“清理”用户密码以防止其被恶意攻击时，这会导致输入与表中存储的不同。甚至不需要转义输入，您应该使用准备好的语句。您甚至不应该trim 密码，因为这可能会更改最初提供的密码。

密码验证

使用password_verify时，您需要将明文密码与数据库中的哈希值进行比较，而不是比较哈希值（这里的含义是您需要在用户注册时存储用户的哈希密码）：

<?php

$hashed = password_hash('test', PASSWORD_DEFAULT);
$password = 'test';

if (password_verify($password, $hashed)) 
  echo 'success';
 else 
  echo 'fail';


?>

Repl

硬编码密码

如果您使用硬编码的哈希并且遇到问题，请确保在将值存储在变量中时使用单引号而不是双引号，因为在使用双引号时将解释 $ ：

<?php
// Undefined variable: QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu :1
$incorrect = "$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu";

$correct = '$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu';
?>

Repl - 分别注释掉。

附录

根据文档：

注意 强烈建议您不要为此函数生成自己的盐。如果您不指定，它将自动为您创建一个安全的盐。

如上所述，在 PHP 7.0 中提供 salt 选项将生成弃用警告。在未来的 PHP 版本中可能会删除对手动提供盐的支持。