Пароль правильно шифрует, но неправильно расшифровывает из базы данных

Question

Пароль правильно шифрует, но неправильно расшифровывает из базы данных

1

Пароль шифруется просто отлично. Но дешифрование странно. Это не дает мне расшифрованный пароль.

здесь результат/вывод расшифровки: http://prntscr.com/91q0rv

Структура таблицы: http://prntscr.com/91qgcs

Теперь я собираюсь опубликовать все связанные коды. Но чтобы сэкономить некоторое время, не забудьте взглянуть на login_db.php, где проблема возникает.

db.php

$mysql_hostname = "localhost";
$mysql_user = "root";
$mysql_password = "";
$mysql_database = "db_bank";

$db = mysql_connect($mysql_hostname, $mysql_user, $mysql_password) or die ("couldn't select any database");
mysql_select_db($mysql_database, $db) or die ("couldn't select any database");

mysql_query("set character_set_server='utf8'");
mysql_query("set names 'utf8'");


$key = 'Dr. Imran';
$iv = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND);

register_db.php

include('db.php');

$fname=$_POST['fname'];
$username=$_POST['username'];
$password = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $key, $_POST['password'], MCRYPT_MODE_CBC, $iv);
$password = base64_encode($password);
echo $password.'<br>';
$email=$_POST['email'];
$phone=$_POST['phone'];
$country=$_POST['country'];
$age=$_POST['age'];
$gender=$_POST['gender'];

$check="SELECT * FROM customers WHERE Username='$username'";
$results=mysql_query($check);

$check2="SELECT * FROM customers WHERE Email='$email'";
$results2=mysql_query($check2);

if(mysql_num_rows($results) == 0)
{ $check='true'; }

else
{ header("location: register.php?username=false"); }


if(mysql_num_rows($results2) == 0)
{ $check2='true'; }

else
{
    if($check!='true')
    { header("location: register.php?username=false&email=false"); }

    else
    { header("location: register.php?email=false"); }
}


if($check=='true' && $check2='true')
{
    for($i=0; $i<1; $i++)
    {
        $id=rand(2000,3000);

        $check3="SELECT * FROM customers WHERE ID='$id'";
        $results3=mysql_query($check3);


        if(mysql_num_rows($results3) > 0)
        { $i=-1;  }

        else
        {
            mysql_query("INSERT INTO customers (Fname, Username, Password, Email, Phone, Country, Age, Gender, ID) VALUES ('$fname', '$username', '$password','$email', '$phone', '$country', '$age', '$gender', '$id')");
            header("location: login.php?register=success");
        }
    }
}


mysql_close($db);

login_db.php

session_start();
include('db.php');


    $username = $_POST['UserOrEmail'];
    $email = $_POST['UserOrEmail'];
    $password = $_POST['password'];

    $qry="SELECT * FROM customers WHERE (username='$username' OR email='$email')";

    $results=mysql_query($qry);


    if(mysql_num_rows($results) > 0)
    {
        $rows = mysql_fetch_assoc($results);

        //Here is where the problem coming from
        $check = base64_decode($rows['Password']);
        $check = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $key, $check, MCRYPT_MODE_CBC, $iv);

        if($password == $check)
        {
        $_SESSION['username'] = $rows['Username'];
        header("location: index.php");
        }
    }


    else { die("Login failed"); }

Надеюсь, это поможет вам определить проблему

Ali Hamze 11 нояб. 2015, в 23:45

Источник

1

Вы действительно должны использовать встроенные функции PHP для обеспечения безопасности пароля. Если вы используете версию PHP ниже 5.5, вы можете использовать пакет совместимости password_hash() .
Jay Blanchard 11 нояб. 2015, в 22:02
1

Ваш сценарий подвержен риску атак с использованием SQL-инъекций.
Jay Blanchard 11 нояб. 2015, в 22:02
1

Если вы можете, вы должны прекратить использовать функции mysql_* . Эти расширения были удалены в PHP 7. Узнайте о подготовленных выражениях для PDO и MySQLi и подумайте об использовании PDO, это действительно не сложно .
Jay Blanchard 11 нояб. 2015, в 22:02
1

Во-первых, избавьтесь от скобок в WHERE (username='$username' OR email='$email')"; это для подзапросов. Dev.mysql.com/doc/refman/5.7/en/subqueries.html
Funk Forty Niner 11 нояб. 2015, в 22:03
2

Не используйте шифрование (обратимое) для хранения паролей, вместо этого используйте хэш (в одну сторону)
Steve 11 нояб. 2015, в 22:03
0

@JayBlanchard Спасибо. Но я вынужден зашифровать пароль. Это требование проекта. Это не настоящий сайт.
user4853107 11 нояб. 2015, в 22:03
0

@Fred-ii- Фред-II- Спасибо за примечание. Что еще ?
user4853107 11 нояб. 2015, в 22:05
1

Встроенные в PHP функции хэширования (одностороннее шифрование).
Jay Blanchard 11 нояб. 2015, в 22:05
0

@Steve Стив, я знаю, я знаю об этом. Но мой инструктор заставил меня зашифровать пароль. Это не настоящий сайт, не волнуйтесь.
user4853107 11 нояб. 2015, в 22:06
1

убедитесь, что вы не столкнулись с нулевым значением или дополнительными пробелами. Используйте rtrim() - см. Руководство php.net/manual/en/function.mcrypt-decrypt.php
Funk Forty Niner 11 нояб. 2015, в 22:06
1

Какой тип и длина столбца пароля в базе данных?
Steve 11 нояб. 2015, в 22:09
0

Структура таблицы @steve prntscr.com/91qgcs
user4853107 11 нояб. 2015, в 22:11
1

Хорошо, вы уверены, что зашифрованный пароль всегда будет менее 300 символов? Потому что, если его нет, он будет усечен.
Steve 11 нояб. 2015, в 22:13
0

@Steve Стив, я так думаю. Но я могу изменить его до 1000 символов. Я не против
user4853107 11 нояб. 2015, в 22:14
1

Итак, вы удалили скобки, как указано ранее? Вы проверили на нулевые значения / пробелы? какие результаты ты сейчас получаешь? вы запускали отчеты об ошибках? php.net/manual/en/function.error-reporting.php
Funk Forty Niner 11 нояб. 2015, в 22:15
0

Я снял скобки. Я использовал rtrim() . Тот же результат. Я только заметил, что каждый раз, когда я обновляю страницу, расшифрованный пароль продолжает меняться, это нормально?
user4853107 11 нояб. 2015, в 22:19
1

Вместо использования mcrypt , почему бы просто не использовать defuse / php-encryption .
Scott Arciszewski 12 нояб. 2015, в 13:21
0

@ScottArciszewski Ну, каждый раз, когда я ищу шифрование PHP в Google, я разочаровываюсь. Я имею в виду, я вижу огромные коды и ничего не понимаю. Пока я не нашел простой код (который я использую) и работал идеально для меня. Вы знаете, я новичок.
user4853107 12 нояб. 2015, в 18:04
1

Проблема в том, что используемый вами код небезопасен , и если вы хотите обеспечить безопасность, просто используйте библиотеку Defuse.
Scott Arciszewski 12 нояб. 2015, в 18:14

Показать ещё 17 комментариев

Теги:

php

encryption

1 ответ

Ещё вопросы

Вы действительно должны использовать встроенные функции PHP для обеспечения безопасности пароля. Если вы используете версию PHP ниже 5.5, вы можете использовать пакет совместимости password_hash() .
Ваш сценарий подвержен риску атак с использованием SQL-инъекций.
Если вы можете, вы должны прекратить использовать функции mysql_* . Эти расширения были удалены в PHP 7. Узнайте о подготовленных выражениях для PDO и MySQLi и подумайте об использовании PDO, это действительно не сложно .
Во-первых, избавьтесь от скобок в WHERE (username='$username' OR email='$email')"; это для подзапросов. Dev.mysql.com/doc/refman/5.7/en/subqueries.html
Не используйте шифрование (обратимое) для хранения паролей, вместо этого используйте хэш (в одну сторону)
@JayBlanchard Спасибо. Но я вынужден зашифровать пароль. Это требование проекта. Это не настоящий сайт.
@Fred-ii- Фред-II- Спасибо за примечание. Что еще ?
Встроенные в PHP функции хэширования (одностороннее шифрование).
@Steve Стив, я знаю, я знаю об этом. Но мой инструктор заставил меня зашифровать пароль. Это не настоящий сайт, не волнуйтесь.
убедитесь, что вы не столкнулись с нулевым значением или дополнительными пробелами. Используйте rtrim() - см. Руководство php.net/manual/en/function.mcrypt-decrypt.php
Какой тип и длина столбца пароля в базе данных?
Хорошо, вы уверены, что зашифрованный пароль всегда будет менее 300 символов? Потому что, если его нет, он будет усечен.
@Steve Стив, я так думаю. Но я могу изменить его до 1000 символов. Я не против
Итак, вы удалили скобки, как указано ранее? Вы проверили на нулевые значения / пробелы? какие результаты ты сейчас получаешь? вы запускали отчеты об ошибках? php.net/manual/en/function.error-reporting.php
Я снял скобки. Я использовал rtrim() . Тот же результат. Я только заметил, что каждый раз, когда я обновляю страницу, расшифрованный пароль продолжает меняться, это нормально?
Вместо использования mcrypt , почему бы просто не использовать defuse / php-encryption .
@ScottArciszewski Ну, каждый раз, когда я ищу шифрование PHP в Google, я разочаровываюсь. Я имею в виду, я вижу огромные коды и ничего не понимаю. Пока я не нашел простой код (который я использую) и работал идеально для меня. Вы знаете, я новичок.
Проблема в том, что используемый вами код небезопасен , и если вы хотите обеспечить безопасность, просто используйте библиотеку Defuse.

Ali Hamze · Accepted Answer · 2015-11-11T19-48-00.000Z

1

Лучший ответ

Вы генерируете новый $iv каждый раз при загрузке db.php. Вы должны сохранить это тоже, чтобы использовать тот же самый для шифрования и дешифрования.

Ali Hamze 11 нояб. 2015, в 19:48

0

Да. это может быть правдой. потому что расшифрованный пароль меняется каждый раз, когда я обновляю страницу. Решение?
user4853107 11 нояб. 2015, в 22:18
0

Вы должны сохранить значение $iv вы используете для шифрования пароля, в отдельном столбце в вашей базе данных. Затем вам придется получить это значение при расшифровке.
Ali Hamze 11 нояб. 2015, в 22:19
0

ЛОЛ. Это звучит глупо. но хорошо Я попробую.
user4853107 11 нояб. 2015, в 22:20
0

Ты был прав. (Извините, если я звучу глупо), но я не могу использовать имя пользователя как $iv ?
user4853107 11 нояб. 2015, в 22:37
1

Нет, $iv должен быть случайным .
Ali Hamze 11 нояб. 2015, в 22:45
0

Я имел в виду, что для каждого пароля его имя пользователя равно $iv но хранение $iv прямо в базе данных похоже на запрос взлома. (Слава богу, это не настоящий проект)
user4853107 11 нояб. 2015, в 23:04
0

$iv может быть даже общедоступным, хотя рекомендуется держать его в секрете. Так что иметь его в базе данных вместе с зашифрованной строкой - это хорошо. Ссылка: mcrypt_create_iv
Ali Hamze 11 нояб. 2015, в 23:08

Показать ещё 5 комментариев