Question

我想做一個密碼檢查，其中的javascript變量是用戶編寫的密碼。我想檢查它是否正確，並通過比較用戶寫到我的php變量中來存儲實際值來做到這一點。

這不是一個安全的解決方案。我該如何改變它。我想要if語句和以前一樣嗎？

她是我的代碼：

  var password=$("#password").val(); 

      if(password!='<?php echo "$password"; ?>'){ 
      alert("No changes has been made due to wrong password."); 
      } 
      else{ 
       $.ajax({ 
        type: "POST", 
        url: "modify_profile.php", 
        data: {"firstname":firstname,"lastname":lastname}, 
        success: function(data){  
        } 
       }); 
      } 
      }); 

這裏是modify_profile.php。

<?php 
    require("../db/connect.php"); 
    $email='test@gmail.com'; 

    $written_password=($_POST['firstname']); 




    if(isset($_POST['firstname'])) 
{ 

    $firstname=($_POST['firstname']); 
    $query=mysqli_query($dbcon, "UPDATE user SET first_name='$firstname' WHERE email='$email'"); 
    $result = mysqli_query($dbcon,$query); 

} 

    if(isset($_POST['lastname'])) { 
    $lastname=($_POST['lastname']); 
    $query=mysqli_query($dbcon, "UPDATE user SET last_name='$lastname' WHERE email='$email'"); 
    $result = mysqli_query($dbcon,$query); 


} 


require("../db/close.php") 
?> 

Answer 1

您不能擁有該風格的if語句並且安全。安全性要求您不要存儲密碼。

爲了安全起見，你必須：

1. 只有hashed form存儲密碼與鹽
2. 通過SSL發送提交的密碼到您的服務器
3. （在服務器上）哈希與所提交的密碼相同的鹽，並將其與存儲的散列密碼進行比較

即使情況並非如此，要求瀏覽器（在用戶的控制下）檢查密碼是正確的將是不安全的，因爲用戶可以查看JavaScript並直接在else聲明中發出HTTP請求。

你需要做的是這樣的：

$.ajax({ 
    type: "POST", 
    url: "modify_profile.php", 
    data: {"firstname":firstname,"lastname":lastname, password: password}, 
    success: function(data){ } 
})