Как проверить значение шифрования mysql с солью в PHP?

Question

Для моего сайта я хранить свои пароли пользователей в базе данных с помощью этой функции MySQL:

ENCRYPT('password', CONCAT('$6$', SUBSTRING(SHA(RAND()), -16))) 

Теперь для моих пользователей для входа нужно проверить пароль, которые они поставляют со значением в базе данных.

Я предположил, что это было бы так просто, как это:

SELECT user FROM users WHERE id = $id AND password = ENCRYPT('$password', CONCAT('$6$', SUBSTRING(SHA(RAND()), -16))) 

Однако стало очевидно, что это не будет работать из-за RAND() функция ...

Так как я бы воссоздать этот пароль в PHP (или mysql), чтобы сопоставить его с зашифрованным паролем? Я предполагаю, что мне нужно будет использовать crypt() или hash(), но я честно не уверен, что PHP должен использоваться или MySQL.

Я использую MySQL версии 5.5, PHP версии 5.3

Answer 1

Соль используется ENCRYPT() (более известный как функция crypt()) хранится как часть хэша, и может быть использован как часть хэша:

SELECT ... FROM users WHERE ... AND password = ENCRYPT('swordfish', password); 

(то есть, если введенный пароль пользователя был «рыба-меч». Я избежать «пароль», потому что это также имя столбца.)

Вы можете (и должны) делать то же самое в PHP путем проверки:

crypt($user_password, $hashed_password) == $hashed_password 

Отметьте, что crypt() не является особо безопасным способом хранения паролей. Пожалуйста, см. Secure hash and salt for PHP passwords.