Seringkali pengembang berjuang dengan verifikasi kata sandi masuk, karena mereka tidak yakin bagaimana menangani hash kata sandi yang disimpan. Mereka tahu bahwa kata sandi harus di-hash dengan fungsi yang sesuai seperti password_hash( )
, dan simpan di varchar(255) bidang:
// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT);
Dalam formulir login, kami tidak dapat memverifikasi kata sandi secara langsung dengan SQL, kami juga tidak dapat mencarinya, karena hash yang disimpan telah diasinkan. Sebaliknya kita...
- harus membaca hash sandi dari database, mencari berdasarkan id pengguna
- dan setelah itu dapat memeriksa kata sandi login terhadap hash yang ditemukan dengan password_verify() fungsi.
Di bawah ini Anda dapat menemukan beberapa contoh kode, yang menunjukkan cara melakukan verifikasi kata sandi dengan mysqli koneksi. Kode tidak memiliki pemeriksaan kesalahan untuk membuatnya dapat dibaca:
/**
* mysqli example for a login with a stored password-hash
*/
$mysqli = new mysqli($dbHost, $dbUser, $dbPassword, $dbName);
$mysqli->set_charset('utf8');
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $mysqli->prepare($sql);
$stmt->bind_param('s', $_POST['username']); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password-hash and check it
$isPasswordCorrect = false;
$stmt->bind_result($hashFromDb);
if ($stmt->fetch() === true)
{
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
Perhatikan bahwa contoh ini menggunakan pernyataan yang disiapkan untuk menghindari injeksi SQL, melarikan diri tidak diperlukan pada kasus ini. Contoh yang setara untuk dibaca dari pdo koneksi bisa terlihat seperti ini:
/**
* pdo example for a login with a stored password-hash
*/
$dsn = "mysql:host=$dbHost;dbname=$dbName;charset=utf8";
$pdo = new PDO($dsn, $dbUser, $dbPassword);
// Find the stored password hash in the db, searching by username
$sql = 'SELECT password FROM users WHERE username = ?';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(1, $_POST['username'], PDO::PARAM_STR); // it is safe to pass the user input unescaped
$stmt->execute();
// If this user exists, fetch the password hash and check it
$isPasswordCorrect = false;
if (($row = $stmt->fetch(PDO::FETCH_ASSOC)) !== false)
{
$hashFromDb = $row['password'];
// Check whether the entered password matches the stored hash.
// The salt and the cost factor will be extracted from $hashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $hashFromDb);
}
