在php中使用密碼加密的基本錯誤

Question

我想使用php重置用戶密碼。我從html表單中獲得了用戶的當前密碼和新密碼。這裏的PHP腳本來重置密碼。但即使用戶輸入正確的密碼，它也始終執行else部分。如何？任何解決方案？我知道可能有一個簡單的錯誤，但我是新來的，無法找到任何錯誤。

$uid = $_SESSION['uid']; 
    $current_pass = $_POST['org_pass']; 
    $new_pass = $_POST['new_pass']; 

    if(isset($_POST['submit'])) 
    { 
      $act_pass = $db_con->prepare("SELECT password FROM user WHERE u_id= ?"); 
      $act_pass->bindParam(1,$uid); 

      $act_pass->execute(); 

      $actual_pass = $act_pass->fetchColumn(); 

      define('SALT', 'flyingrabbit'); 

      $typed_pass = md5(SALT.$actual_pass); 

      if ($typed_pass == $current_pass) 
      { 
       $new_pass1 = md5(SALT . $new_pass); 

       $res = $db_con->prepare("UPDATE user SET password= ? WHERE u_id=?"); 
       $res->bindParam(1,$new_pass1); 
       $res->bindParam(2,$uid); 

       $res->execute(); 

       header("Location: profile.php"); 
       exit; 
      } 
      else 
      { 


        echo "<script type=\"text/javascript\">window.alert(\"You entered wrong password.\");window.location.href = 'profile.php';</script>"; 

      } 

    } 

Answer 1

這看起來錯：

$actual_pass = $act_pass->fetchColumn(); 

// ... 

$typed_pass = md5(SALT.$actual_pass); 

if ($typed_pass == $current_pass) 

您將從數據庫中獲取的信息（我假設已經哈希）進行哈希處理。

你可能想：

$actual_pass = $act_pass->fetchColumn(); 

// ... 

$typed_pass = md5(SALT.$current_pass); 

if ($typed_pass == $actual_pass) 

注意md5 is not recommended哈希密碼。

Answer 2

，因爲你比較$typed_pass == $current_pass但前行，你這樣做$typed_pass = md5(SALT.$actual_pass)你比較散列它轉到else語句，鹽漬密碼爲明文密碼

Answer 3

你應該比較散列$ current_pass和** $ actual_pas ** s。

替換

typed_pa​​ss

$ = MD5（SALT $ actual_pass。）;與$ typed_pa​​ss = md5（SALT。$ current_pass）; $ typed_pa​​ss == $ current_pass與$ typed_pa​​ss == $ actual_pass