PHP prosty system logowania nie działa

Question

Chodzi mi dokładnie o ten fragment kodu
 

include('login.php');

if ( isSet( $_POST['login'] ) && isSet( $_POST['password'] ) )
{

$login = $_POST['login'];
$pass = md5( $_POST['password'] );

$loginConnect = $pdo->prepare( 'SELECT * FROM `users` WHERE login = :login AND password = :password ' );
$loginConnect->bindParam(':login', $login, PDO::PARAM_STR );
$loginConnect->bindParam(':password', $pass, PDO::PARAM_STR);
$loginConnect->execute();

$resultLogin = $loginConnect->fetchAll();

if (isSet( $resultLogin['id'])) 
{
    
    echo 'zalogowano';
}

W pliku login.php znajduje się zmienna $pdo, ze skryptem logowania

 

Dopiero zaczynam naukę PHP i nie wiem za bardzo co może być źle w tym kodzie, w internecie niczego nie znalazłem.
W bazie danych są 2 profile na które próbowałem się logować, podczas zastąpienia :login i :password poprawnymi danymi logowania jest taki sam efekt, po wpisaniu tego samego (z danymi logowania w zapytaniu) w phpmyadmin, dostaję poprawną odpowiedź.
Coś czuję że problem jest związany ze zmienną $resultLogin, jednak co tutaj jest źle? Po próbach wyciągnięcia danych za pomocą foreach z $resultLogin nie dostaję żadnego efektu, jakby była pusta.

 

Tabela users zawiera kolumny id, login, password

Answer 1

Zmień hashowanie haseł na bcrypt (funkcja password_hash) zamiast md5, który został już złamany i nie jest bezpieczny. Następnie podczas logowania używaj funkcji password_verify do sprawdzenia, czy hasło pasuje do hasha, zamiast hashować je znowu (co nie przyniesie oczekiwanego rezultatu, ponieważ hashowanie jest jednostronne i unikatowe).

Comments

Pomogło usunięcie md5.
Przy próbie użycia password_hash dalej nie działa.
Domyślam się że zahashowane dane nie są zgodne z tym, na co czeka mysql, czeka na słowo z bazy, a dostaje jakieś dziwne ciągi znaków.
W jaki sposób można odwrócić(?) ten proces i wysłać do bazy takie dane, które będą prawidłowo przetwarzane?

---

password_hash używasz przy rejestracji, nie logowaniu. Hasła muszą być przechowywane w bazie danych w postaci zahashowanej. Podczas logowania sprawdzasz jedynie za pomocą password_verify, czy przesłane hasło pasuje do odpowiadającego mu hasha siedzącego w bazie.

---

już wszystko działa tak jak powinno

Answer 2

if( isset( $_POST['login'] )){
	$login = $_POST['login'];
	$users="users";
		$pass = $_POST['password'] ;


		$sth = $pdo->prepare( 'SELECT * FROM  '.$users.' WHERE login = :login AND pass = :pass' );
		$sth->bindParam( ':login', $login, PDO::PARAM_STR );
		$sth->bindParam( ':pass', $pass, PDO::PARAM_STR );

		$sth->execute();
		$result = $sth->fetch();
		


		if( $result && isSet( $result['id'] ) ) {

			$_SESSION['plan_l_logged'] = true;
			header('location:edit.php');

		} 

ja mam coś takiego i to napewno działa spróbuj przerobić

Comments

To jest praktycznie ten sam kod, jednak bez md5
Usunąłem ją dla sprawdzenia co się stanie i...
Działa
Tylko dlaczego?

---

Jeśli działa, znaczy to tyle, że nie masz zahashowanych haseł w bazie, co jest wielkim błędem.

Answer 3

$stmt = $pdo->prepare('SELECT * FROM users WHERE login = :email AND pass=:pass');
$stmt->execute(['login' => $login, 'pass' => $pass]);
$user = $stmt->fetch();

var_dump($user);

Sprobuj w taki sposob powinno byc ok. a 'var_dump' pokaze Ci co masz w zmiennej 

Comments

var_dump zwraca bool(false)
Czy to przypadkiem nie powinien być array z kluczami i wartościami wyciągniętymi z bazy?

---

Działa, pomogło...
Uwaga
Nie użycie md5