安全地使用 PDO 预处理语句和密码哈希进行用户登录-php教程-PHP中文网

安全地使用 PDO 预处理语句和密码哈希进行用户登录

霞舞

发布： 2025-07-21 16:22:01

原创

271人浏览过

安全地使用 pdo 预处理语句和密码哈希进行用户登录

本文档旨在指导开发者如何安全地使用 PDO 预处理语句和密码哈希技术来实现用户登录功能。重点讲解如何避免常见的安全漏洞，例如在数据库查询中使用未哈希的密码，以及如何正确地验证用户输入的密码与数据库中存储的哈希密码是否匹配。通过本文，你将学会构建一个更安全可靠的用户认证系统。

用户登录安全实践：PDO 预处理语句与密码哈希

用户认证是 Web 应用安全的关键组成部分。不安全的登录流程可能导致账户泄露和其他严重的安全问题。本教程将演示如何使用 PDO 预处理语句和密码哈希技术来构建一个更安全的用户登录系统。

密码哈希

密码哈希是一种单向加密技术，用于将用户的密码转换为不可逆的字符串。这意味着即使数据库泄露，攻击者也无法轻易获取用户的原始密码。PHP 提供了 password_hash() 函数来生成密码哈希，以及 password_verify() 函数来验证密码哈希。

示例：密码哈希与验证

<?php

// 创建密码哈希
$password = 'my_secret_password';
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

echo "Hashed password: " . $hashed_password . "\n";

// 验证密码
$password_to_verify = 'my_secret_password';
if (password_verify($password_to_verify, $hashed_password)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

?>

登录后复制

说明：

password_hash($password, PASSWORD_DEFAULT)：使用 PASSWORD_DEFAULT 算法对密码进行哈希。PASSWORD_DEFAULT 会使用当前 PHP 支持的最安全的算法。
password_verify($password_to_verify, $hashed_password)：验证提供的密码是否与哈希密码匹配。

PDO 预处理语句

PDO 预处理语句是一种防止 SQL 注入攻击的有效方法。通过使用预处理语句，可以将 SQL 查询与用户输入的数据分离，从而避免恶意用户注入恶意代码。

Phenaki

phenaki是一种从文本生成视频的模型

查看详情

示例：使用 PDO 预处理语句进行用户登录

以下代码展示了如何使用 PDO 预处理语句和密码哈希来验证用户登录：

<?php
session_start();

// 数据库连接信息
$host = 'localhost';
$dbname = 'your_database';
$username = 'your_username';
$password = 'your_password';

try {
    $conn = new PDO("mysql:host=$host;dbname=$dbname", $username, $password);
    $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch(PDOException $e) {
    echo "Connection failed: " . $e->getMessage();
    die();
}

$error = "";

if($_SERVER['REQUEST_METHOD'] == "POST"){
    $email = $_POST['email'];
    $password = $_POST['password'];

    if(!filter_var($email, FILTER_VALIDATE_EMAIL)){
        $error = "Please enter a valid email.";
    }

    if ($error == ""){
        // 只根据 email 查询用户
        $query = "SELECT * FROM users WHERE email = :email LIMIT 1";
        $stm = $conn->prepare($query);
        $stm->execute(['email' => $email]);

        $user = $stm->fetch(PDO::FETCH_OBJ);

        if ($user && password_verify($password, $user->password)) {
            // 密码验证成功，设置 session
            $_SESSION['username'] = $user->username;
            $_SESSION['user_id'] = $user->user_id;
            header("Location: index.php");
            die;
        } else {
            $error = "Wrong email or password!";
        }
    }
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>Login</title>
</head>
<body>
    <?php if($error): ?>
        <p style="color:red;"><?php echo $error; ?></p>
    <?php endif; ?>
    <form method="post">
        Email: <input type="email" name="email"><br>
        Password: <input type="password" name="password"><br>
        <input type="submit" value="Login">
    </form>
</body>
</html>

登录后复制

关键改进：

仅使用 Email 查询： 不再在 SQL 查询中包含密码。这是至关重要的，因为将未哈希的密码传递到数据库查询中是不安全的。
password_verify() 验证： 从数据库获取用户信息后，使用 password_verify() 函数来验证用户输入的密码与数据库中存储的哈希密码是否匹配。
错误处理： 增加错误处理，以在连接数据库失败或验证失败时提供有用的反馈。
输入验证: 增加email格式验证。
移除token验证: 代码中token验证部分与核心登录逻辑关系不大，且未提供 get_random_string() 函数的定义，故移除。开发者应根据实际需求自行实现 CSRF 保护。