在我的登录 PHP 文件中,我有以下内容
$passwordInput = password_hash($passInput, PASSWORD_BCRYPT);
$passwordVerify = password_verify($userInput, $passwordInput);
在我的注册PHP文件中有这样的代码。
$passwordSign = password_hash($passSign, PASSWORD_BCRYPT);
现在,基本上我让它在注册时哈希密码并将其插入数据库。确实如此。
但是,它无法验证。两个结果都给出了2个不同的哈希值,我不知道可能做错了什么。我还尝试只是让它再次哈希输入并检查数据库中的password_hash,但那行不通。
正确使用它们的方法是什么?
(此外,$passSign和$userInput是输入字段,并且确实获取了用户名/密码)
在注册时,您将从用户输入中获取密码并使用password_hash()生成其哈希值:
$hash = password_hash($_POST['password'], PASSWORD_BCRYPT);
你可以在第三个参数中提供自定义salt,但是文档建议不要这样做:
注意 强烈建议您不要为此函数生成自己的salt。如果您不指定salt,它将为您自动创建一个安全的salt。
您将此哈希值保存在数据库中,请确保将其放入长度为60个字符或更长的CHAR/VARCHAR字段中。
当用户想要登录时,您可以使用password_verify()函数检查他们输入的密码与先前保存的哈希值是否匹配:
$auth = password_verify($_POST['password'], $hash);
当然,你需要通过提供的用户名从数据库中搜索,以获取$hash的正确值。
如果$auth为TRUE,则提供的密码与注册时计算的哈希值匹配,用户已通过身份验证。
$passInput和$userInput? - Hanky Panky