Oft kämpfen Entwickler mit der Überprüfung eines Login-Passworts, weil sie nicht sicher sind, wie sie mit dem gespeicherten Passwort-Hash umgehen sollen. Sie wissen, dass das Passwort mit einer geeigneten Funktion wie password_hash( )
, und speichern Sie sie in einem varchar(255) Feld:
// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT);
Im Login-Formular können wir das Passwort nicht direkt mit SQL verifizieren oder danach suchen, da die gespeicherten Hashes gesalzen sind. Stattdessen haben wir...
- müssen den Passwort-Hash aus der Datenbank lesen und nach der Benutzer-ID suchen
- und kann anschließend mit dem password_verify() Funktion.
Unten finden Sie einen Beispielcode, der zeigt, wie man eine Passwortverifizierung mit einem mysqli durchführt Verbindung. Der Code hat keine Fehlerprüfung, um ihn lesbar zu machen:
/**
* mysqli example for a login with a stored password-hash
*/
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['username']); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true)
{
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
Beachten Sie, dass das Beispiel vorbereitete Anweisungen verwendet, um eine SQL-Injektion zu vermeiden, Escapezeichen sind nicht erforderlich in diesem Fall. Ein äquivalentes Beispiel zum Lesen aus einem pdo Verbindung könnte so aussehen:
/**
* pdo example for a login with a stored password-hash
*/
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['username'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false)
{
$hashFromDb = $row['password'];
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
