password_verify не работает при использовании хешированного пароля из базы данных
РЕШИТЬ
У меня была странная проблема с моей регистрационной формой. JS делал что-то странное, и хотя password_verify работал при входе в систему, хеш-код в некоторых случаях был другим... Теперь я исправил свой код, и теперь он работает! Спасибо всем ребята!
РЕШИТЬ
Я серьезно пытаюсь выяснить, почему мой код password_verify не работает уже 4 дня, и я действительно запутался и злюсь...
Прежде всего я должен сказать, что сессия уже запущена, а все остальное работает без проблем.
Но когда я пытаюсь создать скрипт password_verify, он все равно повторяет ложное...
поле в базе данных называется password
и установлен в varchar 255
,
Пароль из базы данных выглядит так:
$ 2y $ 10 $ GEw0Ie6r / Udz2hgJVkCy.ut99NY5NE.h8LEvNM1gBizA1tY58iNa6
Это хорошо, вот как это должно выглядеть...
И когда я повторяю пароль базы данных на моей странице, он показывает то же самое, так что это хорошо. Но, когда я делаю password_verify
, это не работает. Это показывает, что password_verify
ложь... и я не знаю почему, потому что я на 100% уверен, что пароль, который я ввожу в форму, правильный и совпадает с паролем БД. Однако, это не работает, и это не повторяет "СДЕЛАНО", как это должно.
echo strlen
показывает 60
echo $dbpassword
показывает хешированный пароль базы данных.
echo $passwordsubmitted
показывает обычный введенный пароль из формы.
<?php
if(isset($_POST['changepassword'])){
if($_POST['username'] !== $_SESSION['username']){
echo "Invalid username";
}
else{
$stmtselectvalues = $mysqli->prepare("SELECT password FROM members WHERE username = ?");
$stmtselectvalues->bind_param('s',$_SESSION['username']);
$stmtselectvalues->execute();
$stmtselectvalues->bind_result($dbpassword);
$stmtselectvalues->store_result();
while($stmtselectvalues->fetch()){
$passwordsubmitted = $_POST['password'];
echo strlen($dbpassword)."<p>";
echo "Submitted password: ".$passwordsubmitted." and password from database: ".$dbpassword."<p>";
if(password_verify($passwordsubmitted, $dbpassword) == false){
echo "Invalid Password";
}
else{
echo "DONE!";
}
}
}
}
?>
<center>
<form method='POST'>
Username: <input type='text' name='username'><br>
Password: <input type='text' name='password'><br>
<input type='submit' name='changepassword'><br>
</form>
Но когда я использую этот код, он работает, и echo "DONE", что означает, что password_verify имеет значение true...
<?php
if(isset($_POST['changepassword'])){
if($_POST['username'] !== $_SESSION['username']){
echo "Invalid username";
}
else{
$dbpassword = password_hash("test", PASSWORD_BCRYPT);
$passwordsubmitted = $_POST['password'];
echo strlen($dbpassword)."<p>";
echo "Submitted password: ".$passwordsubmitted." and password from database: ".$dbpassword."<p>";
if(password_verify($passwordsubmitted, $dbpassword) == false){
echo "Invalid Password";
}
else{
echo "DONE!";
}
}
}
?>
<center>
<form method='POST'>
Username: <input type='text' name='username'><br>
Password: <input type='text' name='password'><br>
<input type='submit' name='changepassword'><br>
</form>
Я действительно не знаю, почему это происходит. Какие-либо предложения?
ОБНОВЛЕНИЕ Вход для регистрации <input type='password' name='password'>
и представленный пароль от регистрации хешируется с этим кодом:
$password = $_POST['password'];
$passwordhash = password_hash($password, PASSWORD_BCRYPT);
1 ответ
Кажется, проблема в хешировании. Я звонил bcrypt()
с одним и тем же строковым параметром семь раз, и он вернул семь разных значений хеша, только первые семь символов всегда равны $2y$10$:
$2y$10$C7FReGma/9fauYdufdNR3uleGKBgcl4vzL/tMjsksKOmNoPpcoaT2
$2y$10$f7ZjFAgyq5tNcG7dc8RsIuOPTPLFyJFK0RiWfPusE7gqs4.hpRH.u
$2y$10$PnQrq.C3NOdxyNwpWZowzOe77Dsc0Qdr5yzrMzHAV3rH7aqVZYslG
$2y$10$6LL9imr9qB3mnJaoDFsurOAqas4Co/6bN.6mgheHzSboLDtT.Q5hS
$2y$10$Rytiq/6HILN3Bm6cLT7ZM.rO.LjxuLY2xM2FZs3Pa9O2BXbH5H3vO
$2y$10$gg21TJ6GiJg6Wz7RVQkyfufHzlAzfTkKfOdOgsRKotKpsgAoFQErK
$2y$10$v8YdEIA25mBIi4jsrCDABuFzmITv.BuMr9YQl2RUN2xc1rmk0Po9a
Та же проблема с MD5(). Так когда password_verify()
сравнивает два хэша, он возвращает false.