PHP के साथ एन्क्रिप्टेड पासवर्ड को डिक्रिप्ट करना

कई एप्लिकेशन पासवर्ड_हैश जैसे एन्क्रिप्शन एल्गोरिदम का उपयोग करके उपयोगकर्ता पासवर्ड को सुरक्षित रूप से संग्रहीत करते हैं। हालाँकि, लॉगिन प्रयासों को मान्य करते समय, एन्क्रिप्टेड, संग्रहीत संस्करण के साथ इनपुट पासवर्ड की तुलना करना महत्वपूर्ण है।

एन्क्रिप्शन की समस्या

password_hash Bcrypt को नियोजित करता है, एक- वे हैशिंग एल्गोरिदम, जिसका अर्थ है कि एन्क्रिप्टेड पासवर्ड को उलट या डिक्रिप्ट नहीं किया जा सकता है। यह एक सुरक्षा सुविधा है जो यह सुनिश्चित करती है कि भले ही डेटाबेस से छेड़छाड़ की गई हो, हमलावर सादे-पाठ पासवर्ड तक नहीं पहुंच सकते।

समाधान: पासवर्ड सत्यापन

उपयोगकर्ता पासवर्ड को मान्य करने के लिए , पासवर्ड_सत्यापित फ़ंक्शन का उपयोग करें:

if (password_verify('input_password', $encrypted_password)) {
    // Password matches!
} else {
    // Invalid password.
}

यह फ़ंक्शन इनपुट पासवर्ड की तुलना एन्क्रिप्टेड संस्करण से करता है और यदि वे मेल खाते हैं तो सही लौटाता है।

आपकी SQL क्वेरी को संशोधित करना

शामिल करने के बजाय SQL क्वेरी में पासवर्ड इनपुट करें, पैरामीटराइजेशन का उपयोग करें:

$sql_script = 'SELECT * FROM USERS WHERE username=?';

यह दुर्भावनापूर्ण उपयोगकर्ताओं को रोककर SQL इंजेक्शन हमलों से बचाता है आपकी क्वेरी में हेरफेर करना।

उदाहरण

यहां पासवर्ड_सत्यापन का उपयोग करने का एक उदाहरण है:

$username = $_POST['username'];
$input_password = $_POST['password'];

$sql_script = 'SELECT * FROM USERS WHERE username=?';

if ($result = $conn->query($sql_script, $username)) {
    if ($user = $result->fetch_assoc()) {
        if (password_verify($input_password, $user['password'])) {
            // Login successful!
        } else {
            // Invalid password.
        }
    } else {
        // User not found.
    }
}