不能與加密口令從數據庫

Question

登錄我可以通過簡單地圍繞它包裝加密我用MD5密碼 -

$Password = md5($_POST['password']); 

加密的密碼被存儲在數據庫中成功當用戶註冊。但是，當我想用​​純文本密碼登錄時，它決定不了。我該如何解決這個問題？

<?php 

if(isset($_POST['btnlogin'])) { 

$Email = $_POST['email']; 
$Password = $_POST['password']; 



$Email = mysqli_real_escape_string($connection, $Email); 
$Password = mysqli_real_escape_string($connection, $Password); 

$query ="SELECT * FROM customers WHERE Email = '{$Email}' AND Password = '{$Password}'"; 


$select_customer_query = mysqli_query($connection, $query); 

if (!$select_customer_query) 

die("QUERY FAILED". mysqli_error($connection)); 

} 

while($row = mysqli_fetch_array($select_customer_query)) { 

$Email_db = $row['Email']; 
$Password_db = $row['Password']; 
$Firstname_db = $row['First_Name']; 
$Lastname_db = $row['Last_Name']; 
$string ="logged in as"; 
$logoutlink = '/ <a href="includes/back/logout.php">Logout</a>'; 



} 


if ($Email_db == $Email || $Password_db == $Password ) { 


header("Location: ../../index.php"); 



$_SESSION['FirstName'] = $Firstname_db; 
$_SESSION['LastName'] = $Lastname_db; 
$_SESSION['string'] = $string; 
$_SESSION['logoutlink'] = $logoutlink; 


} 


?> 

Answer 1

在這一行：

$Password = $_POST['password']; 

需要改變：因爲你需要比較加密passowrds

$Password = md5($_POST['password']); 

。

Answer 2

你忘了在比較之前md5()密碼，則需要比較md5()版本：

$Password = md5($_POST['password']); 

目前，你是比較$Password_db == $Password

$Password = $_POST['password']; //Not md5() hashed 
$Password_db = $row['Password']; //md5() hashed 

只是一個提示，你應該」不使用md5()，因爲它不安全。

Answer 3

而不是你在做什麼，是安全的，你會想要一個工作流程看起來是這樣的：

1. 抓鬥從數據庫中的用戶ID和密碼的哈希值，對於給定的客戶。
2. 如果password_verify($password, $storedHash)，繼續。

請勿將您的密碼檢查外包給SELECT查詢。不要存儲明文密碼。不要使用MD5進行密碼保護。不要調用MD5加密。

推薦閱讀：

• How to safely store your users' passwords（使用password_hash()和password_verify()）
• How to prevent SQL injection（使用預處理語句）
• The correct cryptography terminology（MD5不是加密算法）