下面的代码是一个登录系统。用户名是"管理员",密码是"密码"(您可以稍后更改)。现在,发送表单后,它只显示登录页面。我找不到任何问题。请帮忙。 error_log文件不显示任何内容。可能是密码未正确散列。当我使用
echo password_hash("password", PASSWORD_DEFAULT);
然后插入结果。
session_start();
$message="";
require 'settings.php';
if(count($_POST)>0) {
$username = mysqli_real_escape_string($_POST['user_name']);
$password = mysqli_real_escape_string($_POST['password']);
$result = mysqli_query("SELECT * FROM members WHERE username='" . $username ."'");
$row = mysqli_fetch_array($result);
if(is_array($row)) {
$hash = $row['password'];
$passwordcheck = password_verify($password, $hash);
}
if($hash == $passwordcheck){
$_SESSION["user_id"] = $row['id'];
$_SESSION["user_name"] = $row['username'];
} else {
$message ="Invalid Username or Password!";
}
if(isset($_SESSION["user_id"])) {
mysqli_query("DELETE * FROM LoginAttempts WHERE IP='".$ip."'");
header("Location:dashboard.php");
}
}
?>
if($locked == 'yes'){
echo"Sorry you are locked out of the system. Please try again in";
echo $timeleft;
}
?>
编辑:现在我得到这些错误:
[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告:mysqli_connect():(28000/1045):/ home中用户'laughin1'@'176.31.10.37'(使用密码:NO)的访问被拒绝第9行的/laughin1/public_html/admin/index.php
[2015年11月15日07:00:58欧洲/莫斯科] PHP警告:mysqli_select_db()恰好需要2个参数,第10行的/home/laughin1/public_html/admin/index.php中给出了1个
[2015年11月15日07:00:58欧洲/莫斯科] PHP警告:mysqli_real_escape_string()恰好需要2个参数,第11行的/home/laughin1/public_html/admin/index.php中给出了1个
[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告:mysqli_real_escape_string()恰好需要2个参数,第12行的/home/laughin1/public_html/admin/index.php中给出了1个参数
[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告:mysqli_query()期望参数1为mysqli,在第14行的/home/laughin1/public_html/admin/index.php中给出的布尔值
[15-Nov-2015 07:00:58 Europe / Moscow] PHP警告:mysqli_fetch_array()期望参数1为mysqli_result,在第15行的/home/laughin1/public_html/admin/index.php中给出的null
但是,如果我将MySQLi更改为MySQL,一切都很好。
尝试var_dump您的$row,它显示什么? 另外,在header行之后,最好添加exit()
是。 哈希肯定是有问题的,因为如果我对密码进行哈希处理,它将起作用。
您使用password_verify验证密码,则无需再次对登录密码进行哈希处理,因为它将生成一个全新的密码,这就是为什么它不匹配的原因
@andrew,谢谢。 但是,如果该密码存储在我之前哈希的密码中,那么如何使用哈希检查密码。
添加到Andrew的password_verify评论中
$encryptPassword = password_hash($users-signup-password, PASSWORD_BCRYPT);
$ encryptedPassord中的值(通常)存储在DB中,即:成功注册用户后。
在登录时获取用户的哈希,典型的选择是在电子邮件中假设
这是用户的唯一标识符
$hash = findUserByEmail($email); // dummy function, you implement this
$isAuth = password_verify($users-login-password, $hash);
参见http://php.net/manual/en/function.password-verify.php
提示:如果$ isAuth为true,则应该在数据库中存储密码的新哈希,最好为每个密码使用动态哈希。
只有一个用户。这是用于管理面板的。
退出阻止页面其余部分执行...标头只是重定向。
用户注册时,将使用password_hash哈希其密码并存储在数据库中,并且当用户尝试登录时,将使用password_verify验证其密码
程序:
register->password_hash()->save_in_db()
login->fetch_hash_column_from_their_username->password_verify()
if verified->set_session->redirect, else stay_in_the_same_page
向您的表单中添加一些验证,以便用户无法持续访问您的数据库,这会产生很高的有效负载并(稍微)阻止对您的站点的某些保护
另外,在这行之后
header("Location:dashboard.php");
加
有关为什么的更多信息,请单击此处为什么通过PHP中的header(Location ..)重定向后为什么必须调用exit?
更新:
password_verify接受两个参数( string $password , string $hash ),您将把登录密码作为第一个参数,并将从数据库存储的哈希值放入第二个参数。如果匹配,则为return true,否则为return false
这是否意味着我必须编写两个查询。 1.使用唯一的用户(这将是row [password];)获取哈希,然后使用现在收集的哈希进行验证,然后使用数据库中的密码检查经过验证的密码? @安德鲁
只有一个查询,从表单用户名中获取哈希,例如SELECT hash FROM user_table WHERE username = x,然后您可以使用password_verify验证密码
我看到一个错误..应该是if ($passwordcheck === true)
为什么3 ===?也感谢您的帮助,这确实是必需的。
@ user3579312 ==比较排除类型,而===与类型比较...您也可以写为if ($passwordcheck),来自doc:php.net/manual/en/language.operators.comparison.php
我很乐意投票。该解决方案有效,我还将在密码更改部分添加一些内容。干杯!
现在它显示了很多错误。我已经在OP中列出了他们,您能帮忙吗?
@ user3579312最好打开另一个问题,因为这看起来像是关于连接问题...您是否更改了连接?我使用PDO,因此可能与我的经验有所不同