Question

我想做一个密码检查，其中的javascript变量是用户编写的密码。我想检查它是否正确，并通过比较用户写到我的php变量中来存储实际值来做到这一点。

这不是一个安全的解决方案。我该如何改变它。我想要if语句和以前一样吗？

她是我的代码：

  var password=$("#password").val(); 

      if(password!='<?php echo "$password"; ?>'){ 
      alert("No changes has been made due to wrong password."); 
      } 
      else{ 
       $.ajax({ 
        type: "POST", 
        url: "modify_profile.php", 
        data: {"firstname":firstname,"lastname":lastname}, 
        success: function(data){  
        } 
       }); 
      } 
      }); 

这里是modify_profile.php。

<?php 
    require("../db/connect.php"); 
    $email='test@gmail.com'; 

    $written_password=($_POST['firstname']); 




    if(isset($_POST['firstname'])) 
{ 

    $firstname=($_POST['firstname']); 
    $query=mysqli_query($dbcon, "UPDATE user SET first_name='$firstname' WHERE email='$email'"); 
    $result = mysqli_query($dbcon,$query); 

} 

    if(isset($_POST['lastname'])) { 
    $lastname=($_POST['lastname']); 
    $query=mysqli_query($dbcon, "UPDATE user SET last_name='$lastname' WHERE email='$email'"); 
    $result = mysqli_query($dbcon,$query); 


} 


require("../db/close.php") 
?> 

Answer 1

您不能拥有该风格的if语句并且安全。安全性要求您不要存储密码。

为了安全起见，你必须：

1. 只有hashed form存储密码与盐
2. 通过SSL发送提交的密码到您的服务器
3. （在服务器上）哈希与所提交的密码相同的盐，并将其与存储的散列密码进行比较

即使情况并非如此，要求浏览器（在用户的控制下）检查密码是正确的将是不安全的，因为用户可以查看JavaScript并直接在else声明中发出HTTP请求。

你需要做的是这样的：

$.ajax({ 
    type: "POST", 
    url: "modify_profile.php", 
    data: {"firstname":firstname,"lastname":lastname, password: password}, 
    success: function(data){ } 
})