我知道这应该很简单但是我在登录时尝试验证密码哈希时遇到了一些麻烦。
在我的注册处理程序中有这个:
else {
$hash = password_hash($pass, PASSWORD_BCRYPT);
$query = "INSERT INTO users (user_name, user_email, user_pass, user_country, user_month, user_day, user_year, profile_pic, register_date, num_posts, num_likes, user_closed, friend_array) VALUES ('$name', '$email', '$hash', '$country', '$month', '$day', '$year', '$profile_pic', '$date', '0', '0', 'no', ',')";
$result = mysqli_query ($con, $query);
if($query) {
$_SESSION ['user_name']=$name;
header("Location:home.php");
exit();
}
登录交易:
if(isset($_POST['login'])){
$name = mysqli_real_escape_string ($con, $_POST['name']);
$pass = mysqli_real_escape_string ($con, $_POST['pass']);
$get_user = "SELECT * FROM users WHERE user_name='$name' AND user_pass='$pass'";
$run_user = mysqli_query ($con, $get_user);
$check = mysqli_num_rows ($run_user);
if ($check==1) {
$row = mysqli_fetch_assoc($run_user);
$hash = $row['user_pass'];
if(password_verify($pass, $hash)){
$_SESSION ['user_name']=$name;
if(isset($_POST['remember_me'])){
setcookie("user_name", $name, time()+31556926);
}
header("Location:home.php");
exit();
}
else {
echo "Incorrect username or password.";
}
您尝试根据输入的密码匹配记录,该密码与存储的哈希密码不同:
... AND user_pass='$pass'
只需根据用户名获取用户记录:
SELECT * FROM users WHERE user_name='$name'
(重要的是:我只是为了简洁和简单而复制/粘贴你的代码。但你应该真的start using query parameters而不是试图直接消毒用户输入。)
获取记录后,您将使用password_verify()
验证密码。 (虽然看起来如果密码不正确,你不会向用户返回任何消息,表明这一点。当else
返回password_verify()
时,你可能想要另一个false
块。)