-1
訪問者が有効なパスワードを入力した後にPHPセッションを作成したいので、ページを再読み込みしても訪問者への隠しリンクを表示できます。PHP有効なパスワードの後にセッションを作成
<?php
if(isset($_POST['submit'])) {
$password = crypt('sumpasswurd', password_hash('rasmuslerdorf', PASSWORD_BCRYPT)); // password
if (hash_equals($password, crypt($_POST['password'], $password))) {
echo 'VALID!';
// CREATE SESSION HERE
} else {
echo 'INVALID';
}
}
if(isset($_SESSION)) echo 'YOU ARE LOGGED IN WITH A VALID PASSWORD!';
?>
<form method="POST" action="">
<input type="text" name="password">
<input type="submit" name="submit" value="OK">
</form>
どうすればこの問題を解決できますか?私のフォームの暗号化は安全ですか?
。ユーザー入力が既知のハッシュと等しいかどうかを確認するには、 'password_verify'を使用しなければなりません。 – iainn
パスワードは何ですか?あなたのファイルにはハードコードされていますか?それは 'rasmuslerdorf'ですか、' sumpasswurd'ですか?それがハードコーディングされている場合は、なぜそれをすべてハッシュするのですか? – deceze
これは 'sumpasswurd'だと思いますが、誰かがパスワードを何とか見ることができたら、それをプロセスでハッシュするのが良い方法です。 – Mitch