Hashowanie hasła jak usunąć

Question

Jak usunąć hashowanie (chyba tak to się pisze)  hasła z tego kodu.
Chodzi mi o to żeby do bazy danych dotarły dane hasła bez za kodwania.

		//Sprawdź poprawność hasła
		$haslo1 = $_POST['haslo1'];
		$haslo2 = $_POST['haslo2'];
		
		if ((strlen($haslo1)<8) || (strlen($haslo1)>20))
		{
			$wszystko_OK=false;
			$_SESSION['e_haslo']="Hasło musi posiadać od 8 do 20 znaków!";
		}
		
		if ($haslo1!=$haslo2)
		{
			$wszystko_OK=false;
			$_SESSION['e_haslo']="Podane hasła nie są identyczne!";
		}	

		$haslo_hash = password_hash($haslo1, PASSWORD_DEFAULT);
		

Usuwałem "        $haslo_hash = password_hash($haslo1, PASSWORD_DEFAULT);" ale to z powodowało że do bazy danych w linijce gdzie ma być hasło nie było nic a przy rejestracji wpisywało się hasło

 

Answer 1

Dopiero co był podobny temat na forum, nie wiem czy jest czy został usunięty ale...

pod żadnym pozorem nie wolno usunąć haszowania hasła!

Nie wiem jaki masz problem z logowaniem, powiedz dokładnie o co chodzi i co masz na myśli mówiąc, że "użytkownicy nie mogą się zalogować" ale wybij sobie raz na zawsze z głowy przechowywanie hasła w formie czystego tekstu.

Comments

Może pan spróbować się zarejestrować na stronie http://rc-polska.com.pl/rejestracja.php a potem zalogować http://rc-polska.com.pl/login.php i nie hasło nie będzie po prawne, w bazie danych jest hasło za hashowane a żeby się po prawnie zalogować trzeba przy użyciu tego hasha z bazy danych a nie ustalonego hasła z rejestracji. Dlatego pomyślałem o usunięciu hashowania.

---

Po pierwsze nie musi być pan (przynajmniej z mojej strony) - traktuję tutaj na forum wszystkich jak kolegów.

Po drugie - już NIGDY nie myśl aby usunąć haszowanie jakichkolwiek haseł gdziekolwiek - hasło to rzecz która ma być zabezpieczona ;)

A teraz co do samego problemu. Musisz mieć coś nie tak z logowaniem. Skoro rejestracja dobrze haszuje i zapisuje to do bazy to w logowaniu na podstawie wprowadzonego loginu musisz pobrać to zahaszowane hasło z bazy i porównać je przy użyciu password_verify(). Tak masz zrobione?

---

Nigdzie tego nie mam, chociażby nie widzie. Cały kod został pobrany z bloga Mirosława.
Kod:
 

<?php

	session_start();
	
	if ((!isset($_POST['login'])) || (!isset($_POST['haslo'])))
	{
		header('Location: login.php');
		exit();
	}

	require_once "connect.php";

	$polaczenie = @new mysqli($host, $db_user, $db_password, $db_name);
	
	if ($polaczenie->connect_errno!=0)
	{
		echo "Error: ".$polaczenie->connect_errno;
	}
	else
	{
		$login = $_POST['login'];
		$haslo = $_POST['haslo'];
		
		$login = htmlentities($login, ENT_QUOTES, "UTF-8");
		$haslo = htmlentities($haslo, ENT_QUOTES, "UTF-8");
	
		if ($rezultat = @$polaczenie->query(
		sprintf("SELECT * FROM uzytkownicy WHERE user='%s' AND pass='%s'",
		mysqli_real_escape_string($polaczenie,$login),
		mysqli_real_escape_string($polaczenie,$haslo))))
		{
			$ilu_userow = $rezultat->num_rows;
			if($ilu_userow>0)
			{
				$_SESSION['zalogowany'] = true;
				
				$wiersz = $rezultat->fetch_assoc();
				$_SESSION['id'] = $wiersz['id'];
				$_SESSION['user'] = $wiersz['user'];
				$_SESSION['drewno'] = $wiersz['drewno'];
				$_SESSION['kamien'] = $wiersz['kamien'];
				$_SESSION['ranga'] = $wiersz['ranga'];
				$_SESSION['email'] = $wiersz['email'];
				$_SESSION['dnipremium'] = $wiersz['dnipremium'];
				
				unset($_SESSION['blad']);
				$rezultat->free_result();
				header('Location: gra.php');
				
			} else {
				
				$_SESSION['blad'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
				header('Location: login.php');
				
			}
			
		}
		
		$polaczenie->close();
	}
	
?>

 

---

Z tego co widzę to jest logowanie jakie było użyte w drugim odcinku kursu. Po wprowadzeniu haszowania w 3 odcinku to logowanie się już do niczego nie nadaje.

Zobacz jeszcze raz odcinek 3 - gdzieś w tym miejscu jest poprawka do logowania https://youtu.be/fMJw90n8M60?t=1h2m

Albo pobierz jeszcze raz paczkę i podmień plik z logowaniem.

---

Rzeczywiście już działa. Dziękuje, po prostu zapomniałem podmienić tylko tego pliku na nowy :/

---

Kwintesencja tych kursów. To sobie przerób ten plik logowania. Posłuchaj co mówi MZ od 1:42:00:00 w kursie #3 Niestety ale wątpię byś otrzymał pomoc jak chcesz usunąć hashowanie. Bo po prostu wiemy, że to jest bardzo złe.. ;) lepiej nauczyć się pracować na hashach niż na czystych hasłach! Co do logowania, możesz sprawdzać po loginie i później dostaniesz z bazy też hasło które weryfikujesz przy pomocy password_verify z czystym hasłem wprowadzonym przez uzytkownika.

---

Nie ma sprawy, może dzięki temu chociaż zapamiętasz że hasła mają być zahaszowane i koniec ;)

@efik już wyjaśnione, zapomniał podmienić pliku...

Swoją drogą to słuszna uwaga, powinieneś sobie to przerobić, przeanalizować kurs i najlepiej pisać samemu a nie skopiować i "a no może zadziała".

---

Nieważne ile trwa odcinek, ważne, że jest gotowiec (✌ ﾟ ∀ ﾟ)☞

---

No niestety... Ale jak komuś nie zależy aby się czegoś nauczyć to co, nic nie poradzimy - jego problem.

Answer 2

Widać, że nie masz podstaw; a hashowania haseł się nie usuwa. Bezpieczeństwo przede wszystkim.

Comments

Ale przez to użytkownicy nie mogą się  zalogować bo te hasło które wpisali zostało zahashowane i jako hasło działa tylko on. A nie chcemy przecież żeby wpisywać hashy tylko hasło które sobie przydzielimy

---

W miejscu logowania należy wprowadzić hashe.