如何使用數(shù)據(jù)庫(kù)中的 Salted 密碼對(duì)用戶進(jìn)行身份驗(yàn)證

在數(shù)據(jù)庫(kù)驅(qū)動(dòng)的 Web 應(yīng)用程序中，保護(hù)用戶密碼免受未經(jīng)授權(quán)的訪問(wèn)至關(guān)重要。加鹽密碼是一項(xiàng)重要的安全措施，可以增強(qiáng)對(duì)用戶憑據(jù)的保護(hù)。在本次問(wèn)答中，我們將探討如何從數(shù)據(jù)庫(kù)中檢索和驗(yàn)證加鹽密碼以進(jìn)行安全的用戶身份驗(yàn)證。

問(wèn)題：

開(kāi)發(fā)人員實(shí)現(xiàn)了一個(gè)成員網(wǎng)站的加鹽密碼存儲(chǔ)在 MySQL 數(shù)據(jù)庫(kù)中。但是，由于驗(yàn)證會(huì)員存在問(wèn)題，登錄頁(yè)面允許任何人進(jìn)入會(huì)員網(wǎng)站。

檢查會(huì)員存在的代碼：

$servername = 'localhost';
$username = 'root';
$pwd = '';
$dbname = 'lp001';

$connect = new mysqli($servername, $username, $pwd, $dbname);

if ($connect->connect_error) {
    die('connection failed, reason: ' . $connect->connect_error);
}

$name = mysqli_real_escape_string($connect, $_POST['name']);
$password = mysqli_real_escape_string($connect, $_POST['password']);
$saltQuery = "SELECT salt FROM users WHERE name = '$name';";
$result = mysqli_query($connect, $saltQuery);
if ($result === false) {
    die(mysqli_error());
}
$row = mysqli_fetch_assoc($result);
$salt = $row['salt'];

$saltedPW = $password . $salt;
$hashedPW = hash('sha256', $saltedPW);
$sqlQuery = "SELECT * FROM users WHERE name = '$name' AND password = '$hashedPW'";

if (mysqli_query($connect, $sqlQuery)) {
    echo '<h1>Welcome to the member site ' . $name . '</h1>';
} else {
    echo 'error adding the query: ' . $sql_q . '<br> Reason: ' . mysqli_error($connect);
}

解決方案：

代碼中的錯(cuò)誤在于成員存在性檢查。要根據(jù)存儲(chǔ)的加鹽密碼哈希正確驗(yàn)證用戶的密碼，需要執(zhí)行以下步驟：

1. 從數(shù)據(jù)庫(kù)檢索加鹽密碼哈希：

   使用 SQL 查詢從數(shù)據(jù)庫(kù)中獲取提供的用戶名的加鹽密碼哈希。

2. 計(jì)算哈希密碼：

   連接使用檢索到的鹽輸入用戶輸入的密碼，并使用與在數(shù)據(jù)庫(kù)中存儲(chǔ)密碼相同的哈希函數(shù)對(duì)其進(jìn)行哈希處理。

3. 將哈希密碼與存儲(chǔ)的哈希進(jìn)行比較：

   將計(jì)算出的散列密碼與存儲(chǔ)的加鹽密碼散列進(jìn)行比較。如果匹配，則用戶的密碼正確。

以下是會(huì)員存在檢查代碼的更新版本，其中包含以下步驟：

$verifyQuery = "SELECT id, password FROM users WHERE name = '$name';";
$verifyResult = mysqli_query($connect, $verifyQuery);
if ($verifyResult === false) {
    die(mysqli_error());
}
$verifyRow = mysqli_fetch_assoc($verifyResult);
if ($verifyRow) {
    $storedHash = $verifyRow['password'];
    $saltedPW = $password . $verifyRow['salt'];
    $hashedPW = hash('sha256', $saltedPW);

    if ($hashedPW === $storedHash) {
        // User authenticated successfully
    } else {
        // Incorrect password
    }
} else {
    // User not found
}

結(jié)論：

通過(guò)執(zhí)行這些步驟，開(kāi)發(fā)人員可以根據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)的加鹽密碼哈希安全地驗(yàn)證用戶密碼。這確保了用戶憑據(jù)的完整性和保護(hù)，防止未經(jīng)授權(quán)的訪問(wèn)。

以上是為什么我的加鹽密碼身份驗(yàn)證在我的 MySQL 數(shù)據(jù)庫(kù)中不起作用？的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！