암호화 된 암호를 다시 요청 하시겠습니까?

Question

crypt() 함수를 사용하여 데이터베이스에 암호를 해시했습니다.

$cryptpass = crypt($user_pass); 

지금 내가 "테스트"는 늘 일이 내 비밀번호를 사용하여 로그인 할 때. 는 여기에 일반 텍스트로 내 암호를 저장 한 전체 시간에

$user_name = mysql_real_escape_string($_POST['user_name']); 
$user_pass = crypt($_POST['user_pass']); 
$user_level = mysql_real_escape_string($_POST['user_level']); 

$encrypt = md5($user_pass); 
$admin_query = "select * from admin_login where user_name='$user_name' AND user_pass='$user_pass' AND user_level='$user_level'"; 

죄송합니다 내가 암호 해시에 좀 새로운 오전 로그인에서 PHP입니다.

EDIT :. 여기 쿼리 에코하면 결과는 토굴 = $ 1 $ vh4.Mq4 $ YaABh9aqRKbKpACTDApWb1 선택 * admin_login로부터 여기서 사용자 _ = 'testcr'AND user_pass = ". $ 1 $ vh4.Mq4 $ YaABh9aqRKbKpACTDApWb1 ' AND user_level = 'a', 실제 암호는 "test"입니다.

Answer 1

암호를 저장할 수있는 매우 안전하지 않은 방법 (소금 제거없이 DES 및 MD5 해시)을 선택했습니다. PHP의 함수 password_hash()을 사용하여 BCrypt 해시를 생성하는 방법을 고려해야합니다.

확인을 위해 먼저 사용자 이름으로 데이터베이스에서 해시를 가져와야합니다. 이후 암호는 password_verify()으로 확인할 수 있습니다. 소금 때문에 SQL 쿼리로 해시를 직접 확인하는 것은 불가능합니다.

// Hash a new password for storing in the database. 
// The function automatically generates a cryptographically safe salt. 
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT); 

// Check if the hash of the entered login password, matches the stored hash. 
// The salt and the cost factor will be extracted from $existingHashFromDb. 
$isPasswordCorrect = password_verify($password, $existingHashFromDb); 

이 항목에 대한 자세한 내용을 읽을 관심이 있다면

은 safely storing passwords에 대한 내 튜토리얼을 살펴 있습니다.

Answer 2

SQL 문 디버깅을 시도하십시오.

$admin_query = "select * from admin_login where user_name='$user_name' AND user_pass='$user_pass' AND user_level='$user_level'"; 

echo $admin_query; 

SQL 엔진에서 쿼리를 실행하고 차이점을 확인할 수 있는지 확인하십시오.