Использование PHPass для хеш-пароля

Я использую PHPASS для хранения зашифрованных паролей и сравнения при входе в систему.

вот код

ob_start();
$userName = $password = "";
$userNameErr = $passwordErr = $loginErr = "";
$hasher = new PasswordHash(8, false);

if (isset($_POST['subEmployee'])) {
    if (empty($_POST['user_name'])) {
        $userNameErr = "User name is required";

    } else {
        $userName = check_input($_POST['user_name']);
        if (!preg_match("/^[0-9_a-zA-Z]*$/", $userName)) {
            $userNameErr = "Only letters, numbers and '_' allowed";
        }
    }
    if (empty($_POST['password'])) {
        $passwordErr = "Password is required";
    }else{
        $password = check_input($_POST['password']);
    }

    $active = 1;
    $loginUser = $db->prepare("SELECT password FROM users WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);
    if ($loginUser->execute()) {
        $results = $loginUser->get_result();
        if ($results->num_rows == 1) {
            $row = $results->fetch_object();
            $stored_hash = "*";
            $stored_hash = $row->password;
            $check = $hasher->CheckPassword($password, $stored_hash);
            if ($check) {
                $_SESSION['name'] = $row->first_name;
                $_SESSION['userId'] = $row->id;
                $_SESSION['user'] = 1;
                print_r($_SESSION);
                header("Location:?pid=4");
            } elseif (!empty($_POST['user_name']) && !empty($_POST['password'])) {
                $loginErr = "'Invalid Login Information'";
            }
        }
    }
}

до сих пор он всегда выдавал одно и то же сообщение "Недопустимая информация для входа". Я сделал регистрационную форму, в которой хранятся мои пароли, подобные этому.

$hasher = new PasswordHash(8, false);
$hash = md5(rand(0, 1000));

if (empty($_POST['password'])) {
        $error ['passwordErr'] = "Password is required";
    } elseif (strlen($_POST['password']) < 8) {
        $error ['passwordErr'] = "<span class='notAllowed'>Chose password with at last eight characters</span>";
    } elseif (strlen($_POST['password']) > 72) {
        $error ['passwordErr'] = "<span class='notAllowed'>Password max 72 characters</span>";
    } elseif ($_POST['password'] !== $_POST['confirm']) {
        $error ['passwordErr'] = "Password don't matching";
    } else {
        $password = $hasher->HashPassword($password);
    }

когда я проверил свою базу данных, мне кажется, что хэширует пароль, и имя пользователя есть, и все в порядке.

но все еще получает это сообщение как "Недопустимая информация для входа".

Правильно ли это две строки

$loginUser = $db->prepare("SELECT password FROM users WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);

код входа в систему ОК.

Я тоже этого пытаюсь

Обновление Я обновил свой код

if (isset($_POST['subEmployee'])) {
    $error=array();

    $hash_cost_log2 = 8;
    $hash_portable = FALSE;
    $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

    if (empty($_POST['user_name'])) {
        $userNameErr = "User name is required";

    } else {
        $userName = check_input($_POST['user_name']);
        if (!preg_match("/^[0-9_a-zA-Z]*$/", $userName)) {
            $userNameErr = "Only letters, numbers and '_' allowed";
        }
    }
    if (empty($_POST['password'])) {
        $passwordErr = "Password is required";
    } else {
        $password = $_POST['password'];
    }
    $active = 1;

    $loginUser = $db->prepare("SELECT password FROM hired_person_info WHERE user_name=? AND activity=?");
    $loginUser->bind_param('si', $userName, $active);
    if ($loginUser->execute()) {
        $results = $loginUser->get_result();
        if ($results->num_rows == 1) {
            $row = $results->fetch_object();
            $stored_hash = "*";
            $stored_hash = $row->password;
            $check = $hasher->CheckPassword($password, $stored_hash);
            if ($check) {
                $_SESSION['name'] = $row->first_name;
                $_SESSION['userId'] = $row->id;
                $_SESSION['user'] = 1;
                print_r($_SESSION);
                header("Location:?pid=4");
            } elseif (!empty($_POST['user_name']) && !empty($_POST['password'])) {
                $loginErr = "'Invalid Login Information'";
            }
        } else {
            $loginErr = "'We didn't find any users'";
        }
    }
}

добавить это из руководства PHPass

$hash_cost_log2 = 8;
        $hash_portable = FALSE;
        $hasher = new PasswordHash($hash_cost_log2, $hash_portable);

до сих пор не повезло, кто-нибудь скажет мне, где я здесь ошибаюсь

Edit это мой код check_input()

function check_input($data) {
    $data = trim($data);
    $data = stripslashes($data);
    $data = htmlspecialchars($data);
    return $data;
}

и я использую PHP 5.3.29

Спасибо

Ответы

Ответ 1

Вот некоторые моменты, которые я хотел бы проверить:

1) В вашем обработчике регистрации вы проверяете непосредственно переменную POST, но для хэширования вы берете переменную $password, я получал бы доступ к вводу всегда таким же образом, например:

$password = $hasher->HashPassword($_POST['password']);

2) Функция check_input() не рекомендуется для паролей, так как вы вычисляете хеш-значение, и это хеш-значение в любом случае "безопасно". Даже для других пользовательских вводных данных следует проверять их так же, как и вы, но экранирование должно выполняться как можно дольше, и только для конкретного выхода. Поэтому функцию htmlspecialchars() не следует вызывать для ввода пользователем, но всегда перед выходом в HTML.

3) В вашем обработчике входа один раз вы получаете пароль с переменной POST и один раз с переменной $password. Переменная $password устанавливается только в инструкции if, поэтому, если вход пуст, вы заполняете ошибку, но вы продолжаете неинициализированную переменную $password. Либо заполните переменную только в начале, либо всегда используйте переменную POST.

4) Поскольку вы используете PHP 5.3.29, вы можете использовать новую функцию password_hash() с пакетом совместимости . Я не думаю, что библиотека PHPass является проблемой здесь, тем не менее вот пример новой функции.

// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);

// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

5) Другая часто ошибочная ошибка заключается в том, что поле базы данных для хранения хэш-значения слишком короткое, для этого требуется длина varchar (60). Может быть, вы могли бы предоставить один из ваших хэшей паролей (конечно, только пример)?

Ответ 2

Для этой библиотеки требуется PHP >= 5.3.7 ИЛИ версия, в которую в нее входит резервное копирование $2y (например, RedHat).