PHP crypt () возвращает неправильный ответ

Question

Я думаю, что я теряю свои шарики здесь ... У меня есть проблема на моем веб-сайте, где случайно перестает принимать логины.Теперь я могу отследить, что crypt () ведет себя очень странно.

В моей базе данных есть зашифрованная версия пароля пользователя - скажем, Og12345678.

Когда пользователь входит в систему, он вводит свой пароль, я считываю соль из БД, а затем шифрую то, что он ввел, и сравниваю - обычно это работает очень хорошо.

Итак, я делаю crypt ($ enterPassword,$ saltFromDb) - в этом случае соль будет Og, конечно.Обычно для данного пользователя пароль crypt работает нормально.

Когда что-то идет не так (и когда они делают это, это постоянное изменение, пока я не перезагружаю Apache), я обнаружил, что crypt начинает возвращать РАЗЛИЧНЫЙ ответ для того же ввода с тем же вводомсоль.

Однако, это не противоречит, то есть, если система работает неправильно, крипта возвращает неправильный ответ, но всегда возвращает тот же неправильный ответ.Повторные обновления страницы показывают тот же результат.Та же самая соль также присутствует в недавно неверном результате склепа, так что не то, чтобы соль пропала где-то.

Если я тогда перезапущу Apache и перезапущу скрипт без каких-либо изменений,результаты из crypt возвращаются к тому, как они должны быть.

Я ценю, что это не последний PHP (5.2.8), но оценил бы любые взгляды на это, включая то, является ли это известной ошибкой, исправленной в более поздней версии (обновлениеPHP не является удачной задачей с большим количеством сайтов, некоторые из которых все еще используют прискорбные причуды, которые все должны быть повторно протестированы с каждым обновлением) - если это известная исправленная ошибка, тогда, очевидно, я получу все это обновлено как можно скорее, кроме этогоВероятно, будет проще произвести аутсорсинг крипты извне, поскольку я использую его только в одном общем месте для своего сайта.

Любой вклад приветствуется.

Мэтт Педдлсден

--- Обновление: 11 марта 2011 г.

Исправление в комментариях, ранее высказанных об операционной системе ... - Операционная система Windows Server 2008 SP1 64 бит.Извинения я должен был проверить дважды, а не предполагать, что я могу вспомнитьМашина - Dell 2950 8 Гбайт Ram, процессоры Xeon.

Я начинаю думать в том же духе, что Кртек предлагает - когда система выйдет из строя, если я сгенерирую новый crypt () (т.е. очень простой пример, гдея установил переменную в строку, зашифровал ее и затем сравнил с криптой) - все прекрасно работает.Когда я перезагружаю сервер, все снова возвращается к предыдущим вычислениям.Поэтому я определенно склоняюсь к чему-то, что меняет алгоритм, используемый для вычисления результата crypt () ... какие-либо мысли о том, что могло бы вызвать это?Я распечатал значения CRYPT_STD_DES и т. Д., И они не меняются при перезапуске.

Кто-нибудь получил какие-либо подсказки о том, что могло бы вызвать это?

Что бы это ни казалось дважды за один день вчера, самое странное.

Спасибо за ответы, полученные таким образомдалеко.

--- Обновление: 16 марта 2011 г.

Просто хотел предоставить еще одно обновление.

Это все еще происходит, все еще не понимаяо том, почему.

В случае, если кто-то столкнется с этим в будущем, я думаю, что мое решение будет состоять в том, чтобы сделать какой-нибудь неприятный хак, чтобы вытолкнуть все исполнения crypt () во внешнее приложение C # и остановитьприходится полагаться на PHP, чтобы сделать их.Что-то где-то идет не так, и на данный момент единственное решение, которое я вижу, это полностью удалить его из уравнения.

Конечно, если это произойдет все еще , будет интересно узнать и это.!:)

Спасибо всем.

Answer 1

Почему ты читаешь соль? И как ты получаешь соль? Различные алгоритмы используют разные методы для включения соли в вывод.

Просто используйте весь вывод функции crypt в качестве второго аргумента:

  $crypted='Og12345678';
  if (crypt($_POST['password'], $crypted)==$crypted) {
      ....

А однопроходной DES? Действительно?

В прошлый раз, когда я смотрел, реализация PHP crypt вызывала функцию crypt (), предоставляемую системой - так что, если она вышла из строя, то скорее всего она будет вашей ОС, чем PHP - но вы не сказали, какая у вас ОС .

Answer 2

У меня была та же проблема с криптой ... У меня была эта проверка логина, работающая на 2 серверах, но когда я перенес его на самый новый, он в конце концов перестает работать Я обхожу его с помощью шифрования md5 следующим образом: В register.php

 $encrypted = md5($_POST["pass"]);
 ...

А потом в login.php

$password = md5($_POST["password"]);
 if ($password == $row["hash"])
        {
            // remember that user's now logged in by storing user's details in session
            $_SESSION["id"] = $row["id"];
            $_SESSION['username'] = $_POST['username'];
            $_SESSION['logged'] = 'Yes';
            // redirect to homepage
            redirect("index.php");
        }

Надеюсь, это поможет:)

Answer 3

Это может быть исправление безопасности Suhosin PHP, затрагивающее вашу функцию crypt ().Он изменяет многие методы шифрования / случайного выбора и может быть причиной вашей проблемы.

Проверьте phpinfo () и посмотрите, есть ли где-нибудь на странице «suhosin».Если он есть, посмотрите на отключение некоторых его функций в конфигурации php.

Answer 4

Я столкнулся с той же проблемой.После переноса моей установки vTigerCRM на локальный компьютер, вход в систему пользователя с ранее сохраненными паролями начал сбой.Похоже, что crypt () возвращает разные хеши в разных средах с одинаковыми аргументами:

В локальной среде:

SYSTEM: Windows NT 6.1 build 7601 (Business Edition Service Pack 1) i586
PHP: 5.3.5

crypt('hello world','$1$ad0000000'):

     $1$ad00000008tTFeywywdEQrAl9QzV.M1

В рабочей среде:

SYSTEM: Linux 2.6.18-338.9.1.el5.lve0.8.32 #1 x86_64
PHP: 5.3.5

crypt('hello world','$1$ad0000000'):

    $1$ad000000$8tTFeywywdEQrAl9QzV.M1