पासवर्ड हैशिंग एपीआई क्वेरी

Question

तो मैं नया PHP 5.5 पासवर्ड हैशिंग एपीआई का उपयोग कर रहा हूं, और मुझे यकीन नहीं है कि मुझे यह सही तरीके से मिला है या नहीं।

मैंने प्रत्येक लॉगिन को स्वचालित रूप से रीहाश करने का प्रयास किया है और कभी-कभी मैं असफल रहता हूं, भले ही हैशिंग वही हो, वैसे भी, मुझे लगता है कि मैं कुछ गलत कर रहा हूं।

यह क्वेरी फ़ंक्शन हो सकता है कि मुझे शायद गलत हो गया है, क्योंकि जब मैं phpMyAdmin की जांच करता हूं तो हैश भी परिवर्तित नहीं होता है।

if (password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT)) 
{ 
    $newhash = password_hash(
     $_POST['user_password'], PASSWORD_BCRYPT, 
     ['cost' => 12, 'salt' => 'superfreakingsonicdude',] 
    ); 

    // update hash in database 
    $this->connection->query(
     "UPDATE users SET user_password_hash='" . $newhash . 
     "' WHERE user_name='".$result_row->user_name."'" 
    ); 
} 

Here is where you can find all the functions.

Answer 1

इनपुट हैश करने के लिए पासवर्ड और नमक है। वही पासवर्ड, एक ही नमक, एक ही परिणाम।
यदि आप salt पैरामीटर बाहर छोड़ते हैं, तो हर बार एक यादृच्छिक नमक उत्पन्न किया जाएगा और आपको एक अलग परिणाम मिलना चाहिए। आपको स्थिर नमक नहीं देना चाहिए। इसका मतलब है कि सभी उपयोगकर्ताओं के पास एक ही नमक होता है, जो इसकी प्रभावशीलता को बहुत कम करता है। प्रत्येक व्यक्ति हैश की आवश्यकता में यादृच्छिक नमक होना चाहिए।

Answer 2

funcion password_needs_rehash जाँच करने के लिए शुरू किया गया है अगर आप अपग्रेड करने की आवश्यकता:

password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT) 

यह फ़ंक्शन जांच की आपूर्ति की हैश प्रदान की एल्गोरिथ्म और विकल्पों को लागू करता है या नहीं। यदि नहीं, तो यह माना जाता है कि हैश को फिर से चलाने की जरूरत है।

यदि आपको यह समझने में समस्याएं हैं कि यह फ़ंक्शन क्या करता है, तो आरएफसी में PHP कोड में फ़ंक्शन शामिल है। तो अगर आप PHP कोड को पढ़ सकता है, तो आप को पढ़ने के लिए सक्षम होना चाहिए निम्नलिखित (भाग के रूप में पेश यह उपयोगकर्ता के देश में से लागू किया जा सकता देखें:): https://wiki.php.net/rfc/password_hash#password_needs_rehash

भावना बनाता है परीक्षण करने के लिए करता है, तो में हैश डेटाबेस (स्टोर) PASSWORD_DEFAULT में या नहीं, उसी एल्गोरिदम का है। इसका मतलब है कि पिछली बार और अब समय के दौरान PASSWORD_DEFAULT बदल दिया गया है या नहीं।

अभी PASSWORD_DEFAULTPASSWORD_BCRYPT है इसलिए इसे हमेशा झूठी वापसी करनी चाहिए। आपके मामले में यह सच हो जाता है, क्योंकि आप अपने पासवर्ड विकल्पों के बिना परीक्षण कर रहे हैं।

बदलें कि और आप ठीक होना चाहिए:

$options = ['cost' => 12, 'salt' => 'superfreakingsonicdude',]; 
######## 

if (password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT, $options)) 
                      ######## 
{ 
    $newhash = password_hash($_POST['user_password'], PASSWORD_DEFAULT, $options); 
                 ################ ######## 

    // update hash in database 
    $this->connection->query(
     "UPDATE users SET user_password_hash='" . $newhash . 
      "' WHERE user_name='".$result_row->user_name."'" 
    ); 
} 

इसके अलावा PASSWORD_DEFAULT उपयोग करने के लिए यदि आप एक डिफ़ॉल्ट PHP में कोर में algo अद्यतन hashing से लाभ उठाना चाहते जारी रखने के लिए विचार करें।