1. ホーム
  2. 質問と答え
  3. リセット後にハッシュが異なるのはなぜですか?

リセット後にハッシュが異なるのはなぜですか?

2011-02-08 10 views
3

私は、ユーザーのパスワードを暗号化してハッシュするシステムを作成しました。パスワードを忘れてしまった場合、リセットを促す電子メールを送信します。リセット後にハッシュが異なるのはなぜですか?

私はその場で$_POSTをハッシュして、その行に保存されているユーザーの固有の塩と塩をつけ、保存されたハッシュパスワードと照合してサインインできます。パスワードをリセットしてサインバックを試みるとそれらが入力する$ _POSTは格納されたpwと一致しません。それはまったく同じプロセスです。

これはどういう考えですか?ここで

は、スクリプトの適切な部分である:

$query = "SELECT `encrypted_password`,`salt` FROM `Users` WHERE `Email` = '" . stripslashes(mysql_real_escape_string($_POST['email'])) . "'"; 
    $request = mysql_query($query,$connection) or die(mysql_error()); 
    $result = mysql_fetch_array($request); 


    $salty_password = sha1($result['salt'] . stripslashes(mysql_real_escape_string($_POST['password']))); 

    // SEE HOW THEY COMPARE 
    echo "Users real salted pass: " . $result['encrypted_password'] . "/Salty Password to check: " . $salty_password . "<br />"; 

    $query2 = "SELECT * FROM `Users` WHERE `Email` = '". stripslashes(mysql_real_escape_string($_POST['email'])."' AND `encrypted_password` = '$salty_password'"; 
    $request2 = mysql_query($query2,$connection) or die(mysql_error()); 
    $result = mysql_fetch_array($request2);

--edit ---

それは、パスワードがリセットされているかを確認するのを助けることができますか?

$query = "SELECT * FROM `Password_Reset` ORDER BY `id` DESC LIMIT 1"; 
$request = mysql_query($query,$connection) or die(mysql_error()); 
$result = mysql_fetch_array($request); 

$token = $result['token']; 

$alpha = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcedfghijklmnopqrstuvwxyz1234567890"; 
$rand = str_shuffle($alpha); 
$salt = substr($rand,0,40); 
$hashed_password = sha1($salt . stripslashes(mysql_real_escape_string($_POST['Password']))); 
$user_email = $result['email']; 

    if(isset($_POST['sub_settings'])){ 


     if(empty($_POST['Password'])) { 
      $valid = false; 
      $error_msgs[] = 'Whoops! You must enter a password.'; 
     } 

     if($_POST['Password'] != $_POST['passwordConfirm'] || empty($_POST['Password'])) { 
      $valid = false; 
      $error_msgs[] = "Your password entries didn't match...was there a typo?"; 
     } 

     if($valid) { 
      $query = "UPDATE `Users` SET `encrypted_password` = '$hashed_password' WHERE `Email` = '$user_email'"; 

      mysql_query($query,$connection);

出典

2011-02-08 LightningWrist

+7

おそらく、あなたが**完全にフィルタリングされていないクエリ**に対してインジェクション攻撃を行っているからです。しかし、ちょっと、それはちょうど推測です。 –

+1

AND 'encrypted_pa​​ssword' = '$ salty_password'";ここでエラーが発生しました... AND 'encrypted_pa​​ssword' = '" $ salty_password。 "'";その方法で 'encrypted_pa​​ssword'が '$ salty_password'文字列であるかどうかを今見ています! – FeRtoll

+1

[this](http://stackoverflow.com/questions/157998/whats-the-difference-between-sha-and-md5-in-php/818572#818572)、[this](http: /chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.html)を開き、 'bcrypt'を使用します。ハッシュアルゴリズムの代わりに。 – eykanal

答えて

2

パスワードをリセットしたときにランダムな新しい塩を生成するようですが、データベースに保存しないでください。パスワードチェックでは、以前のsaltが使用されます。

また、sha1にパスワードを入力する前にパスワードを守る必要はありません。実際には、stripslashesmysql_real_escape_stringを使用すると、両方の関数がPHPのバージョンと構成によってパスワードを別々に変換して別のハッシュを与える可能性があるため、問題が発生する可能性があります。

出典

2011-02-08 19:36:01 aaz

+0

私の一部にグロテスクがあります。あなたの助けをありがとう。 – LightningWrist

+1

簡単に間違えてしまいます。エスケープにも注意してください: 'mysql_real_escape_string'はSQLクエリを構築するときに必要なだけですが、' stripslashes'は必要ありません。 – aaz

関連する問題

 関連する問題