PHP password_verify 不能与准备好的语句一起使用

Posted 2023-02-24

【中文标题】PHP password_verify 不能与准备好的语句一起使用

【英文标题】：PHP password_verify not functioning with prepared statement

【发布时间】：2018-10-21 22:18:14

【问题描述】：

我开始使用 mysqli 准备好的语句。一切正常。我发布到 Code Review 以查看是否有任何不可预见的错误或安全问题。在这里找到：

https://codereview.stackexchange.com/questions/194163/php-login-script

我按照指示更新了我的代码，但是我遇到了 password_verify 的问题。代码如下：

<?php
include('../include/sessions.php');

if(isset($_POST['username']))

  $select = "SELECT username, firstname, lastname, email, userlevel, `password` FROM users WHERE username = ?;";
  $stmt = $dbc->prepare($select);

  $stmt->bind_param("s", $_POST['username']);
  $stmt->execute();
  $result = $stmt->get_result();
  $row = $result->fetch_assoc();

  if($row && password_verify($row['password'], $_POST['password']))
  
    $_SESSION['user'] = $row;

    header("Location: ../cust/home.php");
    die;
  
  else
  
    echo "The username/password combination does not match our records.  Please try again.";
  

?>

上述准备好的语句相应地执行。我可以返回用户名、名字、姓氏等...但是即使我输入正确，密码也不匹配。

使用 bcrypt 对数据库密码进行哈希处理。我不确定这是否在此错误中起作用。

由于无法验证密码，当然是跳到else，回显密码不正确。

有人发现问题了吗？

【问题讨论】：

切换变量。描述是bool password_verify ( string $password , string $hash )，所以POST密码在前，然后是数据库结果。

@aynber - 您介意发布一个答案，以便我可以将其作为已回答的内容进行核对吗？

首先，你喜欢被黑吗？如果不修剪输入，我永远不会在查询中使用 $_POST 变量或与数据处理等效的东西......

@YvanWatchman - 好吧，我开始使用准备好的语句来防止黑客攻击。你想建议什么？我应该清理参数，将其设置为变量，然后在查询中使用该变量吗？

@JohnBeasley 确实，使用例如 htmlspecialchars() 和/或 trim() 清理变量。 PDO Prepare 不会修复每一次黑客尝试：P 将其保存到变量是可能的，并且为了防止 s-s-rF 黑客在使用后取消设置变量（包括 $_POST[]）非常有用！

【参考方案1】：

根据函数bool password_verify ( string $password , string $hash )的描述，首先需要明文密码，然后是数据库中的哈希密码

password_verify($_POST['password'], $row['password']))

【讨论】：

所以在将我的代码转换为您的建议后，我发现现在，我可以输入任何密码，无论对错，我都可以访问该网站。想法？

这很奇怪。您可能想在测试时回显 password_verify 的值和结果，只是为了看看发生了什么。

好的 - 我发现了问题。我在javascript方面。包在我身上。谢谢你的帮助。不知道为什么我被否决了，但谢谢。