PHP password_verify不對數據庫工作

Question

我想讓我的頁面更安全，我開始使用它的密碼加密部分。我試圖實現password_hash +密碼驗證，但到目前爲止，我沒有成功完成整個工作。所以，這是在我的登錄區域：

$username = mysqli_real_escape_string($connection, $_POST['username']); 

$password = mysqli_real_escape_string($connection, $_POST['password']); 

$query = "SELECT username, password FROM `users` WHERE username='$username' and user_enabled='1'"; 
$result = mysqli_query($connection, $query) or die(mysqli_error($connection)); 
if($row = mysqli_fetch_assoc($result)) { $dbpassword = $row['password']; } 

if(password_verify($password, $dbpassword)) { 
    echo "Successful login"; 
}else{ 
    echo "Invalid Login Credentials."; 
} 

我總是收到無效的登錄憑證。

當我修改該用戶的新密碼，我做了以下內容：在數據庫

$pass = mysqli_real_escape_string($connection, $_POST['password']); 
$options = [ 'cost' => 10, 
      'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM), 
      ]; 
$password = password_hash($pass, PASSWORD_BCRYPT, $options)."\n"; 

$query = "UPDATE users 
      SET `password` = '".$password."' 
      WHERE id = ".$_POST['user_id']." 
      "; 

$result = mysqli_query($connection, $query) or die(mysqli_error($connection)); 

密碼爲VARCHAR（255），它是存儲這樣的：

$2y$10$Y5HIyAsLMfkXIFSJONPsfO3Gxx3b46H.8/WFdLVH3Fqk2XNfy2Uaq 

我在這裏做錯了什麼？

Answer 1

\n在下面一行中，嵌入了一個換行符（編輯：一個不能包含在用戶輸入的密碼中）。

$password = password_hash($pass, PASSWORD_BCRYPT, $options)."\n"; 

您需要刪除它並重新使用新的散列。

Jay Blanchard，關於它的一個成員Stack submitted a note關於它不太長也在password_hash()手冊，這是他和我實際上談論的東西。

echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n";

人們正在存儲該散列與：

利用來自串接換行符\n到哈希的端部的文件，即，例如，當要小心級聯換行符並因此password_verify()將失敗。

另一種選擇是使用trim();這也是有效的（在哈希時刻）。

$password = password_hash($pass, PASSWORD_BCRYPT, $options)."\n"; 
$password = trim($password); 
// Store in db after 

然而，你仍然需要重新清除舊的散列和創建新的散列。

但請記住，你不應該逃避密碼。

其中一個例如123'\abc（完全有效）將被修改爲123\'\abcreal_escape_string();這不是必需的。 password_verify()照顧，安全明智。