PHP password_hash(), password_verify()

Mon script d'inscription accepte un mot de passe utilisateur, puis utilise PHP password_hash fonction pour crypter le mot de passe, puis la place dans une base de données. Quand je aller à la connexion à l'aide de l'utilisateur vient de créer, j'obtiens le message d'erreur qui vérifie si les mots de passe sont les mêmes ou pas. Dans mon cas, ils ne sont pas. Ce que je fais mal quand je fais l'appel à la password_verify fonction dans le script de connexion?

REGISTRE

if($_SERVER["REQUEST_METHOD"] == "POST"){
    function secure($data){
        $data = trim($data);
        $data = stripslashes($data);
        $data = htmlspecialchars($data);
        return($data);
    }

    $p_num = secure($_POST["p_number"]);
    $first_name = secure($_POST["first_name"]);
    $last_name = secure($_POST["last_name"]);
    $email = secure($_POST["email"]);
    $password = secure($_POST["pw"]);
    $verify_password = secure($_POST["pw_verify"]);
    $program = secure($_POST["program"]);
    $role = secure($_POST["role"]);
    $logged_in = 0;
    $registered = 0;
    $image = "../images/profile_placeholder.png";

    if($password != $verify_password){
        echo "Nope.  Passwords";
    }
    else{
        $registered = 1;
        $password = password_hash($password, PASSWORD_DEFAULT);
        $insert = "INSERT INTO `$user_table`(`user_id`, `first_name`, `last_name`, `password`, `image`, `email`, `program`, `role`, `logged_in`, `registered`) VALUES('" .$p_num ."', '" .$first_name ."', '" .$last_name ."', '" .$password ."', '" .$image ."', '" .$email ."', '" .$program ."', '" .$role ."', '" .$logged_in ."', '" .$registered ."')";
        $query = mysqli_query($connect, $insert);
        echo "Success!";
    }
}

CONNEXION

if($_SERVER["REQUEST_METHOD"] == "POST"){
    $p_num = $_POST["username"];
    $pwd = $_POST["password"];

    $query = "SELECT * FROM `$user_table` WHERE `user_id` = '$p_num'";
    $result = mysqli_query($connect, $query);
    while($row = mysqli_fetch_assoc($result)){
        $user_id = "{$row['user_id']}";
        $first_name = "{$row['first_name']}";
        $last_name = "{$row['last_name']}";
        $user_name = $first_name ." " .$last_name;
        $password = "{$row['password']}";
        $image = "{$row['image']}";
        $email = "{$row['email']}";
        $program = "{$row['program']}";
        $role = "{$row['role']}";
        $status = "{$row['logged_in']}";
        $registered = "{$row['registered']}";
        if(($user_id == $p_num) && (password_verify($pwd, $password))){
            $_SESSION["id"] = $user_id;
            $_SESSION["user"] = $user_name;
            $_SESSION["program"] = $program;
            $_SESSION["pass"] = $password;
            $_SESSION["image"] = $image;
            $_SESSION["email"] = $email;
            $_SESSION["role"] = $role;
            $_SESSION["status"] = $status;
            $_SESSION["registered"] = $registered;
            $loggedin = "UPDATE `$user_table` SET `logged_in` = 1 WHERE `user_id` = '$user_id'";
        }
    var_dump($pwd);
    var_dump($password);
}

Voici ce que j'obtiens lorsque je fais un var_dump:

string(1) "1" string(16) "$2y$10$0aysCso3b"

Donc, clairement, les mots de passe ne sont pas appariés ensemble. Donc, sur le script d'inscription, le mot de passe est haché et envoyé à la base de données. Ensuite, lorsque l'utilisateur passe à la connexion, le login script regarde le mot de passe saisi par l'utilisateur à la connexion, puis il vérifie contre le hachage de mot de passe dans la base de données à l'aide de password_verify. Pourtant, le hachage de mot de passe n'est pas d'accepter l'onu-hachage de mot de passe comme un match. Ce que je ne comprends pas, pourquoi?

Où sont $pwd et $password à venir à partir de votre script de connexion?
Oups, je pense tout copié. Il a été ajouté à la question.
Note: Vous devez ajouter exit; après chacun de vos en-têtes. I. e.: header("Location: ../pages/denied_login.php"); exit;
Ajouter les rapports d'erreur en haut de votre fichier(s) à droite après l'ouverture <?php tag error_reporting(E_ALL); ini_set('display_errors', 1); voir s'il cède rien et or die(mysqli_error($connect)) à mysqli_query()
J'ai compris et c'est encore kickin retour rien.
Votre secure méthode ne fournit pas de la bonne manipulation pour empêcher les injections SQL.
Votre secure() fonction peut être modifier le hachage de mot de passe. Utiliser les requêtes préparées à la place.
Ma méthode n'est pas ce qui est remis en question ici. Je comprends les requêtes sont vulnérables à l'injection, à partir de ce moment, je ne suis pas concerné par cela.
Bien que le stockage/hachage votre mot de passe il le pouvait. Utilisation var_dump() pour voir ce qui est de passage.
Désolé, ce commentaire a été Gumbo, ne pas voir la vôtre jusqu'à maintenant
lol pas de soucis, je me suis dit autant 😉
Ok, donc les mots de passe ne sont pas réellement de correspondance.
Voici une méthode que j'utilise $sql = "SELECT * FROM table WHERE id = 1"; $result = $mysqli->query($sql); if ($result->num_rows === 1) { $row = $result->fetch_array(MYSQLI_ASSOC); if (password_verify($pwd, $row['password'])) { echo "Match"; } vous pouvez ajouter de la fantaisie après 😉
Pour une raison quelconque, les mots de passe sont encore de retour en tant que différentes chaînes
Vous n'êtes pas encore à l'aide que secure() fonction de stocker des mots de passe avec, êtes-vous? Je vous suggère de faire une copie de votre script, baisse de la fonction et l'utiliser normalement. Créer un nouvel utilisateur/mot de passe, I. e.: john avec 12345, puis vérifier à nouveau avec ma suggestion que je vous ai donné.
J'ai supprimé le fonctionnement entièrement sécurisée et supprimé tous les appels à elle. J'ai même créé un nouvel utilisateur avec un nouveau mot de passe. Mais pour une raison quelconque, le password_verify fonction ne correspond pas à la accepté de mot de passe et attend le mot de passe.
J'ai aussi ajouté le var_dump sorties à la question, ce qui montre qu'ils ne sont pas appariés, mais d'après la documentation, ils doivent correspondre.
Attendez une minute, je pense que votre colonne de longueur n'est pas assez long. Une table de hachage va produire un beaucoup plus longue que cela. Une table de hachage va produire quelque chose comme $2y$10$fXJEsC0zWAR2tDrmlJgSaecbKyiEOK9GDCRKDReYM8gH2bG2mbO4e et votre var_dump montre que $2y$10$0aysCso3b - augmenter votre colonne de longueur de 255 juste pour être sûr, et mis à VARCHAR si pas déjà fait.
Je sais que c'est mis en VARCHAR, et je suis sûr que la longueur est fixée à 255(il paraît bizarre à moi aussi qu'il semble être de coupe off). Je vais vérifier pour assurer demain quelle est la longueur. Je vais vous laisser savoir quand j'en trouverai.

InformationsquelleAutor | 2014-10-23

php php-password-hash

17

Voici ce que j'utilise pour password_hash et password_verify. Essayez comme à l'écrit, vous pouvez alors commencer à ajouter dans le reste de votre code une fois couronnée de succès.

Modifier la table et le nom de colonne(s) à votre convenance.

N. B.: C'est une de base de la méthode d'insertion. Je vous suggère d'utiliser déclarations préparées à l'avance à la place.

Note: La colonne mot de passe doit être assez long pour accueillir le hachage VARCHAR(255). Consulter Les "Notes De Bas De Page".

INSÉRER un fichier
```
<?php
$DB_HOST = 'xxx';
$DB_USER = 'xxx';
$DB_PASS = 'xxx';
$DB_NAME = 'xxx';

$conn = new mysqli($DB_HOST, $DB_USER, $DB_PASS, $DB_NAME);
if($conn->connect_errno > 0) {
die('Connection failed [' . $conn->connect_error . ']');
}

$password = "rasmuslerdorf";
$first_name = "john";
$password = password_hash($password, PASSWORD_DEFAULT);

$sql = "INSERT INTO users (`name`, `password`) VALUES ('" .$first_name ."', '" .$password ."')";

    $query = mysqli_query($conn, $sql);
    if($query)

{
    echo "Success!";
}

else{
    //echo "Error";
    die('There was an error running the query [' . $conn->error . ']');
}
```
CONNEXION fichier
```
<?php
//session_start();

$DB_HOST = 'xxx';
$DB_USER = 'xxx';
$DB_PASS = 'xxx';
$DB_NAME = 'xxx';

$conn = new mysqli($DB_HOST, $DB_USER, $DB_PASS, $DB_NAME);
if($conn->connect_errno > 0) {
  die('Connection failed [' . $conn->connect_error . ']');
}

$pwd = "rasmuslerdorf";
$first_name = "john";

//$sql = "SELECT * FROM users WHERE id = 1";

        $sql = "SELECT * FROM users WHERE name='$first_name'";
        $result = $conn->query($sql);
        if ($result->num_rows === 1) {
            $row = $result->fetch_array(MYSQLI_ASSOC);
            if (password_verify($pwd, $row['password'])) {

                //Password matches, so create the session
                //$_SESSION['user'] = $row['user_id'];
                //header("Location: http://www.example.com/logged_in.php");

                echo "Match";

            }else{
                echo  "The username or password do not match";
            }

}

 mysqli_close($conn);
```
Notes de bas de page:

La colonne mot de passe doit être suffisamment long pour tenir la table de hachage. 72 de long est ce que le hachage de produit de caractère de longueur, et pourtant le manuel suggère 255.

Référence:
- http://php.net/manual/en/function.password-hash.php
"Utiliser le bcrypt algorithme (par défaut depuis PHP 5.5.0). Notez que cette constante est conçu pour changer au fil du temps que des nouvelles et des algorithmes plus robustes sont ajoutés à PHP. Pour cette raison, la longueur de la suite de l'utilisation de cet identifiant peut changer au fil du temps. Par conséquent, il est recommandé de stocker le résultat dans une colonne de base de données qui peut s'étendre au-delà de 60 caractères (255 caractères serait un bon choix)."
- Vous avez eu raison de m'avoir vérifier la base de données de longueur de champ. Il n'était pas à 255, ce qui n'est pas le casser. Merci beaucoup de m'aider à comprendre cela. Je suis aussi à la recherche dans des déclarations préparées à l'avance, je suis tellement habitué à prévenir l'injection SQL manuellement que je n'ai jamais entendu parler d'eux jusqu'à ce que récemment, à partir de ce que j'ai vu jusqu'à présent, ils sont assez simple. Merci encore pour l'aide.
- Vous êtes très heureux de Robert, je suis contente de savoir que ça a été résolu. Cheers 🙂
- Pourquoi n'êtes-vous pas en utilisant des requêtes préparées? Il y a toujours un risque que votre code sera tout simplement obtenir la copie dans un projet et les variables remplacé par $_POST['user'], etc.
- J'ai inclus un lien vers elle. Je crois que j'ai travaillé assez longtemps avec les OP pour fournir une solution à la question à portée de main. Je ne peux pas attendre pour faire un script complet pour chaque question je réponds, qui est lié à MySQL. C'est aux autres de regarder dans le lien qui contient des exemples. Si c'était le cas, je serais obligé d'aller dans chaque réponse, j'ai mis dans qui ne contient pas une réécriture complète.
- Vous faites, il semble que l'utilisation des requêtes préparées prend un gros effort, alors qu'en réalité c'est seulement deux lignes de code supplémentaires.
- si vous mettez à jour réponse pour pdo, qui sera grande.....
- Je ne serait défigurant la question/réponse, il est donc préférable de "laisser assez bien seul" 😉 jetez un oeil à l'un des ircmaxell de la (grande) réponse à l'aide d'AOP et d'une instruction préparée, ici stackoverflow.com/a/29778421/1415724 😉
- Je vous remercie beaucoup pour votre propre réponse
- Bienvenue @Negar toujours un plaisir, cheers
InformationsquelleAutor Funk Forty Niner

Amis que nous sommes en utilisant le nom d'utilisateur Unique, de Connexion, de Sorte que nous avons à Récupérer le Mot de passe/Données de Base de données utilisant le nom d'utilisateur Uniquement.

Exemple:

<?php
    $connect = mysqli_connect($localhost, $username, $pwd, $database) or die("Opps some thing went wrong");

    if (isset($_POST['submit'])) {
      extract($_POST);

     //Get Old Password from Database which is having unique userName
     $sqlQuery = mysqli_query($connect, "select * from loginTable where User='$username'");
     $res = mysqli_fetch_array($sqlQuery);
     $current_password = $res['userPassword'];

     if (password_verify($enteredPassword, $current_password)) { 
        /* If Password is valid!! */
        $_SESSION['id'] = $res['id'];
        header("location: home.php");
     }
     else { 
        /* If Invalid password Entered */
        $alt = "Login Failed! Wrong user ID or Password";
        header("location: index.php?m=$alt");
     }
  }
?>

C'est de Travailler pour moi...
Je suis aller chercher le Mot de passe de la base de données et en comparant avec le Mot de passe entrés
À l'aide de PHP, API, c'est à dire password_verify($enteredPassword, $current_password)

InformationsquelleAutor Irshad Khan

Vous devez vous connecter pour publier un commentaire.