password_verify nie działa MYSQL/PHP

Question

Witam proszę o pomoc chcę zabezpieczyć hasła za pomocą password_hash a password_verify nie działa ;/

Od początku:

1. $hash = password_hash($password, PASSWORD_BCRYPT);

2. $hash trafia do bazy i jest prawidłowo zapisany.

3.  Użytkownik wpisuje swój nick i hasło i  PHP cały czas zwraca fałsz mimo, że się wszystko zgadza.

$result = queryMySQL("SELECT * FROM users WHERE user ='$nick' ");

if ($result->num_rows)

{

$row = $result->fetch_array(MYSQLI_ASSOC);

$hash = $row['password'];

if (password_verify($password , $hash))

{

echo "<font color='green'>SESSION SUCCES!</font>";

} else

{ echo "<font color='red'> FALSE </font>";

}

5. i teraz taki numer.. jak pod zmienną $hash skopiuje z bazy to samo co w $row['password'] to PHP zwróci prawdę.

6. Zapis i wyciąganie do i z bazy jest prawidłowe dlatego nie rozumiem i głowie się kilka godzin o co chodzi.. Google też nie dało odpowiedzi.

7. Powyższy kod to tylko niekompletna przerobiona kopia która pokazuje tylko najważniejszy kawałek.

  

 

Comments

7. Powyższy kod to tylko niekompletna przerobiona kopia która pokazuje tylko najważniejszy kawałek.

No to albo dajemy kod, albo fragmenty które teoretycznie są okej. Pokaż gdzie inicjalizujesz i jak zmienną $password

Answer 1

5. i teraz taki numer.. jak pod zmienną $hash skopiuje z bazy to samo co w $row['password'] to PHP zwróci prawdę.

Skoro tak się dzieje to coś musi być nie tak z odczytem z bazy lub dalszym przetwarzaniem w zmiennych.

Przed linią z password_verify() wyświetl $hash, wystarczy echo lub var_dump() i sprawdź czy jest dobry.

Comments

Właśnie już tak kombinowałem i jest ok xD $row['password'] pokazuje realnie to co jest w bazie. Więc $hash == $row['password'] na 100%. $hash przed password_verify nie istnieje. Punkty 1-2 są w innym pliku.

---

Punkty 1-2 nie są chyba istotne dla tego problemu.

$hash przed password_verify nie istnieje.

Jak to? W podanym kodzie przecież jest:

$hash = $row['password'];
if (password_verify($password , $hash))
...

Jeśli więc w $password i $hash są wartości takie jak powinny (sprawdź przez echo czy var_dump()) to musi działać.

---

tak istnieje. Ale nie istnieje jak dam echo "$hash" przed jego zdefiniowaniem.

Ok zrobiłem tak: pod $hash = $row['password'];

    $a = $hash;
    $b = $password;
    var_dump($a, $b);

i to też zwraca prawdę. Nie zmienia to żadnego faktu, że po dojściu do password_verify nie może ich porównać i zwraca false.

 

---

a jak dam

$hash = $row['password'];

echo "$hash";

Po wyświetleniu na stronie kopinuje i robie tak:

$hash = $row['password'];

$a = TU WKLEJAM ODPOWIEDŹ z echo.

if  (password_verify($password , $a) == true)

......

tak działa prawidłowo

 

 

 

 

---

$row = $result->fetch_array(MYSQLI_ASSOC);
				$x = $row['password'];
				$p = '$2y$10$wxEabDALNVGXUJkFC6kyIe62imbvoRtWF9AjgbE3wrvFphHRWr3Nq'
				if (($x == $p) == true)
				{
					echo "ok";
				}else
				{
					echo "$p</p>$x<br>";
				}
				if  (password_verify($password , $x) == true)
				{
				echo "<font color='green'>SESSION SUCCES!</font>";
				}			
				else
				{
				echo "<font color='red'> FALSE</font></p>";
				}

Teraz to zbaraniałem. Pomimo, że w rzeczywistości $x i $p SĄ identyczne program zwraca fałsz xD ale jak w miejscu password_verify zamiast $x dam $p to działa xDD

---

Co ty robisz?

Logowanie:

1: login = plaintext np email
2: password = haslo. 

pobierasz id,haslo albo konkretne dane nie selec * z tabeli gdzie email=login (PDO::bindowanie) do zmiennej $row["password"] 

pozniej sprawdzasz funkcją password_verify( $password, $row["password"] )

Nie sugeruj się tym, że hashe mają być takie same, nie będą.  

https://3v4l.org/shFS9

Jak widać, działa.

---

ze strony którą podałeś mi zwraca fałsz

---

a mi true 

array(4) {
  [0]=>
  string(4) "adam"
  [1]=>
  string(6) "admin1"
  [2]=>
  string(60) "$2y$10$ZHQorcd6/AHZxX8dZ441vuym1j2F4If5gUJPDrhKmIFN3V/N/iWHK"
  [3]=>
  bool(true)
}

Więc gdzieś przekombinowałeś, albo do bazy nie trafia taki hash który powinien ;) 

---

Dziękuje za pomoc!

Znalazłem błąd który nie miał nic wspólnego z tematem. Widać na przyszłość muszę zamieszczać cały kod zapewne dopatrzylibyście się tego pierwsi :)

Błąd polegał na zapisu danych do bazy ale mimo to dane były zapisywane i na pierwszy rzut oka były dobrze zapisane.

Błędu dopatrzyłem się bo zaciekawiło mnie dziwne działanie bazy. Mając i widząc wszystkie dane Baza zwracała mi błąd przy zapytaniu o hasło. A nawet zwracała zero wyników! Z poziomu wiersza poleceń albo phpmyadmin.

Ale mimo to z poziomu PHP wyciągając z bazy wynik był poprawny! Lecz w linijkach sprawdzających poprawność hasła zawsze PHP zwracał już fałsz- i miał racje.

Wystarczyło zmienić linijki dotyczące zapisu danych do bazy. Wszystko działa szkoda, że tak głupi błąd zmarnował mi 2 dni.

 

Answer 2

spróbuj użyć funkcji sha1(), bo w moim przypadku przy PASSWORD_DEFAULT na php 7 generowany hash nie zawsze był taki sam. Sha1 zawsze daje taki sam wynik.

Comments

Hash nigdy nie będzie taki sam i jest to celowe działanie. Od tego jest password_verify(), aby odpowiednio to sprawdzić, pomimo tego że finalne hashe są różne.

sha1 stanowczo odradzam.