В чем ошибка моего кода?

Question

[Александр]

при работе кода если водить правильныйпароль и логин пишет что не верный пароль

if(!empty($_POST['passwords']) && !empty($_POST['logins'])){
    $passwords=$_POST['passwords'];
    $logins=$_POST['logins'];

        $result=mysqli_query($link, "SELECT*FROM users WHERE logins='$logins'")or die(mysqli_error($link));
        
        if (!empty($user)){ 
            $user=mysqli_fetch_assoc($result);
            $hash=$user["passwords"];
            // echo $hash;
            // echo $ff=password_hash($passwords,PASSWORD_DEFAULT);
            
                if(password_verify($passwords, $hash)){
                echo "Вы успешно авторизовались, ";
            }
            else{
            echo "Неверный пароль";}
            }
        }
        else{
            echo "Неверный логин";
        }
    ?>
    
    <form style="margin: 10px 40%;" method=post>
    <h1>авторизация</h1>
    <input type=text name=logins placeholder="logins">
    <input type=password name=passwords placeholder="passwords">
    <br>
    <input type=submit value="Войти">
    <a href="./hash.php">разегистрироватся</a>
    </form>

Comments

[Олег]

$hash=$user["passwords"];

В базе пароль в открытом виде или там хеш сохранен ? Поле достаточной длинны ? А ТО МУСЬКА ОБРЕЗАЕТ МОЛЧА ПРИ СОХРАНЕНИЕ

[Александр]

все пароли хранятся в хеше в бд
а потом они проверяются и полям и долны вестись вы вошли
типа это окно авторизации но если водить правильный правельный пароль и логин то он выдает не верный пароль

[FanatPHP]

судя по echo $hash, пользователя он находит?

[nokimaro]

разегистрироватся

[Александр]

FanatPHP, логин он находит и пароль тоже но при проверке через password_verify начинает родатать не так
что страно у моих калег такойже код роботает 100% стабильно а у меня траблы пошли (

[Александр]

nokimaro, на грамматические ошибки прошу не обращать внимание как это тестовый код

[ambisinister One]

Одно видно сразу - нижние строчки кода - один сплошной косяк)

[FanatPHP]

значит надо при регистрации вывести полученный через password_hash пароль и записать на бумажке
потом запросить сохраненный из БД и сравнить
и потом разбираться, почему они не совпадают

вас уже спросили, Поле достаточной длины?

[Александр]

FanatPHP, регистрация сделана через password_hash и строчик поля с 256 значение стоят в бд
вот что проблема почему то они не совпадают

[FanatPHP]

я написал что делать

[Dasolod]

SELECT*FROM это не валидный sql, пробелов не хватает.

[FanatPHP]

Dasolod, да ладно

Answer 1

[FanatPHP]

Самое время познакомиться с темной стороной программирования.
Начинающие вайтишники искренне думают, что программист - это типа такой художник. Берет мольберт, поллитру, кисти и начинает ВАЯТЬ. Потом отходит на шаг, любуется делом рук своих, и снова. Ваять. А потом сразу заказчику, за большие деньги.

Так вот, в реальности это всё не так.
Большую часть времени программист не пишет код.
А пытается разобраться, почему он не работает.

Так что мы будем сейчас учиться это делать.
Тем более, что это в принципе несложно.
Главное не думать, что чем-то поможет сидеть и тупить в свой кодик. И приглашать других людей потупить в него тоже бессмысленно. Потому что причина может быть совсем не в нем. но даже если проблема и в коде, то искать её всё равно надо по-другому.
В код не надо тупить. Его надо ЗАПУСКАТЬ.
И выводить промежуточные результаты. Проверять его работу.
Заранее выяснить, какие должны быть значения у переменных, и проверять их на каждом этапе.
Где не совпадут - там и проблема.
В идеале IDE сама покажет содержание всех переменных при трассировке, но если пишешь код в блокнотике, то даже тупо писать var_dump($bar1,$var2,$var3...); и смотреть что там лежит.
Условия проверять еще проще, тупо echo 'зашли в условие if (!empty($user))';
И если лежит не то, или эхо не выводится - вот тогда уже смотреть в код и думать, почему так получилось.

В частности, при авторизации надо проверить две вещи:
1. Находится ли юзер по логину
2. если находится, то проверить корректность хэша. Для этого при регистрации надо вывести полученный через password_hash пароль и записать на бумажке
потом запросить сохраненный из БД и сравнить

Кроме того
Разумеется, отладка невозможна без сообщений об ошибках.
В половине случаев РНР человеческим голосом сообщает в чем проблема.
Поэтому всегда, в любом окружении должно стоять error_reporting(E_ALL);
плюс на домашнем компике полезно прописать ini_set('display_errors', 1); чтобы сразу видеть ошибки на экране.
На боевом сервере разумеется поставить 0 вместо 1, и добавить ini_set('log_errors', 1);

У меня только один вопрос.
Какой смысл вообще делать парольную защиту, если любой придурок сможет спокойно авторизоваться через SQL инъекцию?

Comments

[Олег]

if (!empty($user)){
$user=mysqli_fetch_assoc($result);

ошибка настолько глупая, что я ее проглядел

[Владислав Лысков]

7 вкладов этому господину

[Александр]

Конечно спасибо бля а чё сразу унижать я кабы студент который изучает php и я вкурсе что там нет защита я в комментариях писал что просто тестовый образец чё сразу кидаться

[FanatPHP]

Александр, а где унижение, в чем конкретно?
А, главное, в чем смысл писать код по два раза, сначала кривой, а потом нормальный?

[FanatPHP]

Олег, самое смешное что я тоже не заметил. меня echo $hash; сбило с толку и я был уверен что хэш выводился. Щас добавлю еще рекомендацию про проверку условий.

и это кстати хороший пример, почему за empty() надо бить по рукам.

[Александр]

FanatPHP, а в нем что не так ?

[FanatPHP]

если бы тут не было empty, то РНР бы вывел ошибку, что вы обращаетесь к несуществующей переменной.
через empty никогда нельзя проверять переменную, которая должна существовать.
то есть фактически любую переменную, которая назначается в скрипте, а не приходит извне

[Александр]

ладно мой косяк там код правилный проблема оказалось в регистрации про прошение за ваше потраченное время и меого агресси

[FanatPHP]

Александр, да нет тут никакой агрессии
и я надеюсь что время не потрачено зря, а вы хотя бы немного поняли, что делать со своим кодом, если он не работает

Answer 2

[alekssamos]

Если не делаешь через подстановочные знаки вопроса, то используй тогда функцию mysqli::real_escape_string, а то реально и инъекция будет, и любой специальный символ всё сломает и так далее.

Comments

[FanatPHP]

это идиотский совет, потому что через mysqli::real_escape_string ТОЖЕ будет инъекция и ТОЖЕ все сломает, без всяких символов, если не в этом запросе, так в другом.