我想我在這裏失去我的彈珠......我的網站有一個問題,隨機停止接受登錄。我現在已經能夠將它跟蹤到crypt(),表現得非常奇怪。PHP crypt()返回錯誤的答案
在我的數據庫中,我有用戶密碼的加密版本 - 所以我們來說說Og12345678。
當用戶登錄時,他們輸入密碼,我從數據庫中讀出鹽,然後隱藏他們輸入的內容並進行比較 - 通常這很有效。
所以我在做crypt($ enteredPassword,$ saltFromDb) - 在這種情況下,鹽當然是Og。通常對於給定的用戶密碼crypt可以正常工作。
當事情出錯了(當他們這樣做的時候,它是一個永久的變化,直到我重新啓動Apache),我發現crypt開始爲相同的輸入返回一個不同的答案與相同的鹽。
但是它是一致的,即一旦系統出問題隱藏返回錯誤的答案,但它總是返回相同的錯誤的答案。重複刷新頁面顯示相同的輸出。同樣的鹽也在新的不正確的地穴結果中也有證據,所以並不是鹽在某處失蹤。
如果我然後重新啓動Apache並重新運行腳本而不做任何更改,那麼crypt的結果會回到它們應該如何的結果。我很感激它不是最新的PHP(5.2.8),但會重視任何觀點,包括它是否是一個已知的錯誤修復在更高的版本(升級PHP並不是一個快樂的任務,有很多網站,其中一些仍然使用不幸的怪癖,每次升級都需要重新測試) - 如果它是一個已知的固定錯誤,那麼顯然我會盡快升級它,除此之外它可能會更容易從外部外包crypt,因爲我只是在我的網站的一個共同的地方使用它。
任何輸入讚賞。
馬特Peddlesden
---更新:2011年3月11日
修正評論先前給出的有關操作系統... - 操作系統爲Windows Server 2008 SP1 64位。道歉我應該加倍檢查,而不是假設我能記得!該機是戴爾2950 8GB Ram,至強處理器。我開始思考Krtek提出的建議 - 當系統已經不可靠時,如果我生成新的crypt()(即一個非常簡單的例子,我將一個變量設置爲一個字符串,然後比較它與地穴) - 一切都很好。當我重新啓動服務器時,再次回到以前的計算。所以我絕對傾向於改變算法用於計算crypt()結果 ...有什麼想法可能會導致這種情況發生?我打印出CRYPT_STD_DES等的值,它們在重新啓動之間不會改變。
任何人都有什麼線索可能會導致這種情況發生?
無論昨天在一天中發生了兩次,最奇怪的是。
感謝迄今爲止的答案。
---更新:2011年3月16日
只是想提供另一個更新。
這仍然發生,仍然沒有進一步理解爲什麼。
如果將來有人遇到這種情況,我認爲我的解決方案將會做一些討厭的攻擊,將所有crypt()執行推送到外部C#應用程序,並停止依賴PHP做他們。某處出了問題,在這一點上,我能看到的唯一解決方案就是完全從等式中移除它。
當然,如果它仍然發生,這將是有趣的知道呢! :)
謝謝大家。
我認爲這是不太可能,這是你的問題,但我看到PHP文檔中的建議 - http://php.net/manual/en/function.crypt。PHP的 - 是你應該將整個(鹽)加密的密碼作爲鹽傳遞。 '如果(crypt($ enteredPassword,$ cryptedPasswordFromDB)== $ cryptedPasswordFromDB){...}'。這一點似乎是,然後crypt()可以從$ cryptedPasswordFromDB確定正在使用的哈希算法。再次,我懷疑這是你的問題的原因,但你可能會給它一個去... –
是否有可能比腳本更改一些PHP配置導致crypt使用不同的哈希函數?就像@Gareth所說的從db傳遞完整的密碼可以解決這個問題。 – krtek
我開始按照Krtek的建議思考 - 當系統變得詭異時,如果我生成新的crypt()(即一個非常簡單的例子,我將一個變量設置爲一個字符串,然後將其與crypt ) - 所有的作品都很棒。當我重新啓動服務器時,又重新開始工作了。所以我絕對傾向於改變用於計算crypt()結果的算法......對於可能導致這種情況發生的任何想法?我打印出CRYPT_STD_DES等的值,它們在重新啓動之間不會改變。 –