Проверка хэша пароля в PHP - PullRequest
Новая
       45

Проверка хэша пароля в PHP

0 голосов
/ 21 февраля 2019

Я знаю, что это должно быть просто, но у меня возникли некоторые проблемы при попытке проверить хэш пароля при входе в систему.

Это было в моем обработчике регистрации: 

else {
    $hash = password_hash($pass, PASSWORD_BCRYPT);

    $query = "INSERT INTO users (user_name, user_email, user_pass, user_country, user_month, user_day, user_year, profile_pic, register_date, num_posts, num_likes, user_closed, friend_array) VALUES ('$name', '$email', '$hash', '$country', '$month', '$day', '$year', '$profile_pic', '$date', '0', '0', 'no', ',')";
    $result = mysqli_query ($con, $query);

    if($query) {
        $_SESSION ['user_name']=$name;
        header("Location:home.php");
        exit();
    }

Обработчик входа:

    if(isset($_POST['login'])){
    $name = mysqli_real_escape_string ($con, $_POST['name']);
    $pass = mysqli_real_escape_string ($con, $_POST['pass']);

    $get_user = "SELECT * FROM users WHERE user_name='$name' AND user_pass='$pass'";

    $run_user = mysqli_query ($con, $get_user);

    $check = mysqli_num_rows ($run_user);

    if ($check==1) {
        $row = mysqli_fetch_assoc($run_user);
        $hash = $row['user_pass'];
        if(password_verify($pass, $hash)){
        $_SESSION ['user_name']=$name;
        if(isset($_POST['remember_me'])){
        setcookie("user_name", $name, time()+31556926);
        }
        header("Location:home.php");
        exit();

    }

        else {
        echo "Incorrect username or password.";

            }

1 Ответ

0 голосов
/ 21 февраля 2019

Вы пытаетесь сопоставить запись на основе введенного пароля, который не будет совпадать с сохраненным хешированным паролем: 

... AND user_pass='$pass'

Просто получите запись пользователя на основе имени пользователя: 

SELECT * FROM users WHERE user_name='$name'

( Важно: Я просто копирую / вставляю ваш код для краткости и простоты. Но вы должны действительно начать использовать параметры запроса вместо того, чтобы пытаться непосредственно санировать пользовательский ввод.)

После того, как вы извлекли запись, , а затем вы подтвердите пароль с помощью password_verify(), как вы это делаете в настоящее время.(Хотя похоже, что если пароль неправильный, вы не возвращаете пользователю никакого сообщения, указывающего на это. Возможно, вам понадобится еще один блок else, когда password_verify() вернет false.)

...