Php登录password_verify

Question

我正在学习如何使用预准备语句，我想我应该尝试一个使用password_hash()和password_verify(函数的登录系统(简单)。我已经成功地在使用准备好的状态表中插入了数据，现在我希望验证密码并与用户一起做一些事情。

在这个阶段，我似乎得到了失败的消息：

$stmt = $conn->prepare("SELECT username, password FROM users WHERE username = ?");
$stmt->bind_param('s', $username);

$username = $_POST['ulogin'];
$password = $_POST['upassword'];

$stmt->execute();
$stmt->bind_result($username, $password);



$row = $stmt->fetch();
if ($stmt->num_rows == 1) {
    if (password_verify($password, $row['user_password'])) {
        echo 'success';
    }
} else {
 echo "Wrong data";
}

$stmt->close();
$conn->close();

如果我执行var_dump($stmt->fetch());，并且登录用户名正确，则返回的结果为bool(true)

我不确定现在如何尝试验证密码。

Answer 1

<?php

$stmt = $conn->prepare("SELECT username, password FROM users WHERE username = ?");
$stmt->bind_param('s', $username);

$username = $_POST['ulogin'];
$password = $_POST['upassword'];

$stmt->execute();
$stmt->bind_result($username, $password);
$row = $stmt->fetch(); //fetch DB results


if (!empty($row)) { // checks if the user actually exists(true/false returned)
    if (password_verify($_POST['upassword'], $row['password'])) {
        echo 'success'; // password_verify success!
    } else {
    echo 'failed';
    }
} else {
    echo "This user does not exist"; //email entered does not match any in DB
}

$stmt->close();
$conn->close();

您不一定需要检查行数。如果口令由于任何原因没有被验证，我也有一个else语句

Answer 2

这是你的一个问题：

$password = $_POST['upassword'];
...
$stmt->bind_result($username, $password);
...
if (password_verify($password, $row['user_password'])) {

您正在覆盖您的$password变量，因此它不再是已提交的值。

使用POST值应该可以解决这个问题：

 if (password_verify($_POST['upassword'], $row['user_password'])) {

或

 if (password_verify($_POST['upassword'], $password)) {

因为您已经将结果中的密码绑定到该变量。

此外，如果您的用户名在数据库中是唯一的，则可以替换：

$row = $stmt->fetch();
if ($stmt->num_rows == 1) {

通过以下方式：

if ($row = $stmt->fetch()) {