我有一个问题。当我从数据库检索 SALT 值时，我的散列密码不等于数据库中的密码。

注册.php

1. 生成随机盐并将其添加到密码末尾。
2. 散列完整值。
3. 将用户名、散列密码和盐插入数据库。

while($row){
    $SALT = random_bytes(32);
    $SALT = bin2hex($SALT);

    $query = "SELECT 1 FROM usr_accounts WHERE SALT = :SALT";
    $query_params = array(':SALT' => $SALT);
    try{
        $stmt = $db->prepare($query);
        $result = $stmt->execute($query_params);
    } 
    catch(PDOException $ex){
        die("Failed to run query: " . $ex->getMessage());
    }
    $row = $stmt->fetch();
    if(empty($row)){
        break;
    }
}

for($hashnr = 0; $hashnr < 128; $hashnr++){
    $PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT);
}

$query = "INSERT INTO usr_accounts (USERNAME, PASSWORD, SALT, EMAIL) VALUES (:USERNAME, :PASSWORD, :SALT, :EMAIL)";
$query_params = array(':USERNAME' => $_POST['USERNAME'], ':PASSWORD' => $PASSWORD, ':SALT' => $SALT, ':EMAIL' => $_POST['EMAIL']);
try{
    $stmt = $db->prepare($query);
    $result = $stmt->execute($query_params);
}
catch(PDOException $ex)
{
    die("Failed to run query: " . $ex->getMessage());
}

登录.php

1. 从数据库检索数据（盐）并将其添加到密码的末尾。
2. 散列完整值。
3. 检查密码值是否相等。

$query = "SELECT ID, USERNAME, PASSWORD, SALT FROM usr_accounts WHERE USERNAME = :USERNAME";
$query_params = array(':USERNAME' => $_POST['USERNAME']);
try{
    $stmt = $db->prepare($query);
    $result = $stmt->execute($query_params);
}
catch(PDOException $ex){
    die("Failed to run query: " . $ex->getMessage());
}
$login_ok = false;

$row = $stmt->fetch();
if($row){
    for($hashnr = 0; $hashnr < 128; $hashnr++){
        $check_password = hash('sha256', $_POST['PASSWORD'].$row['SALT']);
    }
}

解决方案

您应该使用password_hash()。它为您处理盐并将其添加到哈希密码中。然后使用password_verify()来检查密码是否有效。

此外，您不需要在循环中对密码进行哈希处理。

for($hashnr = 0; $hashnr < 128; $hashnr++){ $PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT); }

这只是调用 hash() 128 次，每次都得到相同的结果，并将其分配给 $PASSWORD

您的散列密码不相同的原因可能是字符编码问题。确保 PHP 和 SQL 都设置为使用相同的编码（如果可以的话，请使用 UTF8）。这里有一篇关于它的很好的文章