Где ошибка в коде и не происходит авторизация с password_verify?

Question

[Виталий]

Есть в таблице users столбцы login и password. Есть страница с окнами ввода логина и пароля ( c именами username и password). Ниже часть кода php.

$myusername = mysqli_real_escape_string($conn,$_POST['username']);
$mypassword = mysqli_real_escape_string($conn,$_POST['password']);
$sql = "SELECT * FROM users WHERE login = '$myusername'";
$result = mysqli_query($conn,$sql);
$row = mysqli_fetch_array($result,MYSQLI_ASSOC);
$count = mysqli_num_rows($result);
if($count == 1 && password_verify($mypassword, $row['password']))
{$_SESSION['login_user'] = $myusername;
header("location: xxxxx.php");}
else {$error = "Неправильный логин или пароль";}

Что в нем не так? Я уже много гуглил, никак не понимаю что не так. Должны же сравниваться хеши логина из базы и из формы, но что то не то. Авторизации нет. Помогите пожалуйста. Что поменять в коде и что добавить, или нужно что-то менять в базе? Где то нашел что пароль в базе нужно хранить в виде хеша, но какой смысл если на сайте он каждый раз будет разный. Я сначала подумал, что может нужно до password_verify хешировать пароль из формы, но это не помогло.

Comments

[Шам]

тут не видно ничего. Может $count не 1 или сессия не включена session_start() или кодировка username не соответствует кодировке в БД и соединения с БД. Нужно выводить все ошибки БД mysqli_error(). Все кодировки должны соответствать - таблицы, соединения с БД, текста в переменных PHP.

[Сергей delphinpro]

$mypassword = mysqli_real_escape_string($conn,$_POST['password']);

Это лишнее скорее всего.
Нужно сравнивать пароль так как он есть. Так как вы отправляете его в базу. А эскейпинг это уже другая история.

Answer 1

[SagePtr]

Да, в базе пароль нужно хранить в виде хеша, полученного функцией password_hash. Он каждый раз разный, потому что соль генерируется каждый раз своя, но эта соль включена в хеш, и функция password_verify эту соль учитывает.

Comments

[Виталий]

Спасибо вам за отклик. Я просто пробывал получить хеш из своего пароля кодом ниже. Выведенный хеш код вставил в базу вместо пароля, и ничего не поменялось(((

$password = 'XXXXXXXX'; // заменил на свой пароль
$hashed_password = password_hash($password, PASSWORD_DEFAULT);
echo $hashed_password;

Answer 2

[AUser0]

Во-первых $mypassword не участвует в SQL-запросах, поэтому его НЕ НАДО экранировать, этим вы портите сам пароль. Сами подумайте, текст пароля aaa\'bbb совпадёт с оригинальным паролем aaa'bbb?

Во-вторых, просто сделайте в блоке else{} такой код:

$salt = strstr(strstr(strstr($row['password'], ".", true), "\$"), "\$");
error_log("PHP: Password: '{$_POST['password']}', '".password_hash($_POST['password'], PASSWORD_DEFAULT, array('salt' => $salt))."' != '{$row['password']}', salt = '{$salt}'");

и смотрите error.log вашего HTTP-сервера, сравнивайте хэши паролей. Думаю если в шифровании что-то не так - сами поправите код.

Comments

[Виталий]

Спасибо, сейчас посмотрю.

[Ипатьев]

$salt = strstr(strstr(strstr($row['password'], ".", true), "\$"), "\$");

Это какая-то очень странная фантазия

array('salt' => $salt)

и это, кстати, тоже

Answer 3

[Ипатьев]

Возможные причины
1. В БД нет такого пользователя.
2. Недостаточная длина поля под хэш.
3. Ошибка при выполнении запроса.
4. При регистрации в базу вместо нормального хэша пишется какая-то ерунда.

Comments

[Aspirant555]

4) Действительно. Может просто длина строки в таблице недостаточная?