php系统密码不对,关于php：密码系统无任何作用

下面的代码是一个登录系统。用户名是"管理员"，密码是"密码"(您可以稍后更改)。现在，发送表单后，它只显示登录页面。我找不到任何问题。请帮忙。 error_log文件不显示任何内容。可能是密码未正确散列。当我使用

echo password_hash("password", PASSWORD_DEFAULT);

然后插入结果。

session_start();

$message="";

require 'settings.php';

if(count($_POST)>0) {

$username = mysqli_real_escape_string($_POST['user_name']);

$password = mysqli_real_escape_string($_POST['password']);

$result = mysqli_query("SELECT * FROM members WHERE username='" . $username ."'");

$row = mysqli_fetch_array($result);

if(is_array($row)) {

$hash = $row['password'];

$passwordcheck = password_verify($password, $hash);

}

if($hash == $passwordcheck){

$_SESSION["user_id"] = $row['id'];

$_SESSION["user_name"] = $row['username'];

} else {

$message ="Invalid Username or Password!";

}

if(isset($_SESSION["user_id"])) {

mysqli_query("DELETE * FROM LoginAttempts WHERE IP='".$ip."'");

header("Location:dashboard.php");

}

}

?>

if($locked == 'yes'){

echo"Sorry you are locked out of the system. Please try again in";

echo $timeleft;

}

?>

编辑：现在我得到这些错误：

[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告：mysqli_connect()：(28000/1045)：/ home中用户'laughin1'@'176.31.10.37'(使用密码：NO)的访问被拒绝第9行的/laughin1/public_html/admin/index.php

[2015年11月15日07:00:58欧洲/莫斯科] PHP警告：mysqli_select_db()恰好需要2个参数，第10行的/home/laughin1/public_html/admin/index.php中给出了1个

[2015年11月15日07:00:58欧洲/莫斯科] PHP警告：mysqli_real_escape_string()恰好需要2个参数，第11行的/home/laughin1/public_html/admin/index.php中给出了1个

[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告：mysqli_real_escape_string()恰好需要2个参数，第12行的/home/laughin1/public_html/admin/index.php中给出了1个参数

[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告：mysqli_query()期望参数1为mysqli，在第14行的/home/laughin1/public_html/admin/index.php中给出的布尔值

[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告：mysqli_fetch_array()期望参数1为mysqli_result，在第15行的/home/laughin1/public_html/admin/index.php中给出的null

但是，如果我将MySQLi更改为MySQL，一切都很好。

尝试var_dump您的$row，它显示什么？ 另外，在header行之后，最好添加exit()

是。 哈希肯定是有问题的，因为如果我对密码进行哈希处理，它将起作用。

您使用password_verify验证密码，则无需再次对登录密码进行哈希处理，因为它将生成一个全新的密码，这就是为什么它不匹配的原因

@andrew，谢谢。 但是，如果该密码存储在我之前哈希的密码中，那么如何使用哈希检查密码。

添加到Andrew的password_verify评论中

$encryptPassword = password_hash($users-signup-password, PASSWORD_BCRYPT);

$ encryptedPassord中的值(通常)存储在DB中，即：成功注册用户后。

在登录时获取用户的哈希，典型的选择是在电子邮件中假设

这是用户的唯一标识符

$hash = findUserByEmail($email); // dummy function, you implement this

$isAuth = password_verify($users-login-password, $hash);

参见http://php.net/manual/en/function.password-verify.php

提示：如果$ isAuth为true，则应该在数据库中存储密码的新哈希，最好为每个密码使用动态哈希。

只有一个用户。这是用于管理面板的。

退出阻止页面其余部分执行...标头只是重定向。

用户注册时，将使用password_hash哈希其密码并存储在数据库中，并且当用户尝试登录时，将使用password_verify验证其密码

程序：

register->password_hash()->save_in_db()

login->fetch_hash_column_from_their_username->password_verify()

if verified->set_session->redirect, else stay_in_the_same_page

向您的表单中添加一些验证，以便用户无法持续访问您的数据库，这会产生很高的有效负载并(稍微)阻止对您的站点的某些保护

另外，在这行之后

header("Location:dashboard.php");

加

有关为什么的更多信息，请单击此处为什么通过PHP中的header(Location ..)重定向后为什么必须调用exit？

更新：

password_verify接受两个参数( string $password , string $hash )，您将把登录密码作为第一个参数，并将从数据库存储的哈希值放入第二个参数。如果匹配，则为return true，否则为return false

这是否意味着我必须编写两个查询。 1.使用唯一的用户(这将是row [password];)获取哈希，然后使用现在收集的哈希进行验证，然后使用数据库中的密码检查经过验证的密码？ @安德鲁

只有一个查询，从表单用户名中获取哈希，例如SELECT hash FROM user_table WHERE username = x，然后您可以使用password_verify验证密码

我看到一个错误..应该是if ($passwordcheck === true)

为什么3 ===？也感谢您的帮助，这确实是必需的。

@ user3579312 ==比较排除类型，而===与类型比较...您也可以写为if ($passwordcheck)，来自doc：php.net/manual/en/language.operators.comparison.php

我很乐意投票。该解决方案有效，我还将在密码更改部分添加一些内容。干杯!

现在它显示了很多错误。我已经在OP中列出了他们，您能帮忙吗？

@ user3579312最好打开另一个问题，因为这看起来像是关于连接问题...您是否更改了连接？我使用PDO，因此可能与我的经验有所不同