Как сделать проверку хэш пароля (password_hash) с базы данных?

Question

[joker8999]

Добрый день.
Пароль хэшируется функцией password_hash()
$passwordHash = password_hash($password, PASSWORD_BCRYPT);
При авторизации нужно проверить логин и пароль
$login = $_POST['login'];
$password =$_POST['password'];
else {
$query = "SELECT * FROM g_users WHERE login='$login'";
if (mysql_num_rows(queryMysql($query)) == 0) $error = "Ошибка при вводе логина или пароля";

else {
session_start();
$_SESSION['login'] = $login;
header("Location: admin/index.php");
exit;
}
}
Как можно осуществить проверку введенного пароля с хэш паролем из бд с указанным логином?

Всем спасибо за очень "полезные" советы. Ответ нашел сам.
mysql_fetch_row(mysql_query("SELECT password FROM g_users WHERE login='$login'"));

Answer 1

[FanatPHP]

тебе надо не пароли хэшировать, а с базой данных учиться работать.

если ты, уже выполнив запрос и получив строку с паролем, не можешь его достать и сравнить с хэшем, то тебе надо оставаться на второй год и учить РНР с нуля.
когда научишься более-менее уверенно работать с БД - переходи к паролям.

Answer 2

[Микола]

php.net/manual/ru/function.password-verify.php

Comments

[joker8999]

Спасибо, но я не про это спрашивал

Answer 3

[Сергей Наумов]

может быть мой ответ и идиотский, но чем не устраивает такой вариант:
.....
$query= "SELECT * FROM g_users WHERE login='$login' AND password='$passwordHash'";
.....
при этом в базе должен хранится не сам пароль, а его хеш

Comments

[FanatPHP]

потому что проверка выполняется специальной функцией

[Сергей Наумов]

FanatPHP:
хватит "учительствовать" :-)
функцией, как он уже показал, он получил хэш выше
$passwordHash = password_hash($password, PASSWORD_BCRYPT);

[FanatPHP]

не хватит. вас, дураков, еще учить и учить. эта функция для генерации хэша, а не для проверки

[Сергей Наумов]

FanatPHP: Оскорбления засунь себе куда-нибудь поглубже.
Если сгенерировать хеш на основе пароля, а потом его сравнить с ранее созданным хешем того же пароля -- они совпадут. Таким образом поставленная задача решена.
В чём проблема?

[FanatPHP]

В том что ты берешься рассуждать на темы, в которых не смыслишь ни бельмеса. причем даже после того как тебя ткнули носом, ты не пошел и не проверил себя по мануалу.

[Сергей Наумов]

Мне видится ситуация по-другому: это всё похоже на изучение козявок под микроскопом.
если речь идёт о функции password_verify, то нет никакой разницы, что с чем сравнивать. Будешь ли ты сравнивать полученный с помощью password_hash хэш с ранее записанным хешем или ты будешь производить сравнение через password_verify()

Разницы по-сути никакой нет.
И не нужно вести себя как прыщавый подросток, даже если ты таковым являешься.

[FanatPHP]

если до тебя ДО СИХ ПОР не дошло, что разница есть, то ты действительно дурак. нелюбознательный, чванливый, безнадежный дурак

[Сергей Наумов]

FanatPHP: Похоже, что чванливый дурак -- кто-то другой.

boolean password_verify ( string $password , string $hash )
Verifies that the given hash matches the given password.

Note that password_hash() returns the algorithm, cost and salt as part of the returned hash. Therefore, all information that's needed to verify the hash is included in it. This allows the verify function to verify the hash without needing separate storage for the salt or algorithm information.

Список параметров:

password
Пользовательский пароль.

hash
Хэш, созданный функцией password_hash().

[Сергей Наумов]

FanatPHP: Да, хочу заметить, что от тебя не прозвучало ничего кроме чванства и надменности. ни единого аргуманта. Только гонор и баранья упёртость. жаль, что всё это безосновательно.

[FanatPHP]

Ты не понимаешь прочитанного. Ладно, учиться ты не хочешь, а уговаривать тебя - много чести. Когда дойдет - можешь зайти извиниться.

[Сергей Наумов]

FanatPHP: Прекрасно понимаю прочитанное и уверен, что опыта работы со всеми этими делами у меня лет на 15 побольше твоего. Ещё раз повторюсь: от тебя кроме гонора в этой ветке не было ничего... зачем ты вообще здесь пишешь -- не понятно.

[FanatPHP]

это же очевидно. расшевелить тебя. заставить начать думать, тряхнуть всеми 15-ю годами и задуматься над логическими неувязками, проявить любопытство, а не спесь :)

[joker8999]

Народ вы что-то не туда разговор увели, может я просто не так вопрос задал. Попробую проще: мне просто нужно вытащить из бд хэшированный ранее пароль у пользователя $login, я так думаю таким запросом "SELECT password FROM g_users WHERE login='$login'" и вставить в функцию password_verify(); вторым аргументов для проверки и все! Просто как сделать запрос к бд чтобы он мне вернул хэш пароля пользователя.

[FanatPHP]

Пересмотри соответствующий видеоурок еще раз.

[joker8999]

Какой еще видеоурок? И вообще причем он здесь?

[FanatPHP]

Потому что получение данных из базы - это САМЫЙ базовый код, который только бывает. Типа таюлицы умножения. Если ты этого не умеешь, то снлва садись за парту

[joker8999]

Простой вопрос - простой ответ. И все!!!!! Что за развод бестолковой демагогии??? Я не собираюсь даже изучать бд. Мне просто нужно написать этот код и все. Зачем все усложнять....

[FanatPHP]

Если не собираешься ничего изучать, то тебе на фрилансим.ру

[joker8999]

ОМГ...сколько здесь бестолковых учителей развелось...

[FanatPHP]

Насчет бестолковости ты в точку. Только не учителей :)

[Сергей Наумов]

joker8999: Хеширование -- необратимый процесс. то есть, Если ты пароль превратил в хэш и сохранил в БД, то тебе при входе в систему нужно:
1. получить логин и пароль от юзера
2. получить хэш этого пароля
3. сравнить полученный хэш с хэшем, что в базе.
как я уже писал выше:
....
$query= "SELECT * FROM g_users WHERE login='$login' AND password='$passwordHash'";
.....
если запрос вернёт результат -- пользователь существует
если нет -- нет

[Сергей Наумов]

joker8999: Если проверять через password_verify, то алгоритм такой:
<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
?>

[joker8999]

svcomplex: Ваше решение не получится. потому что чтобы проверить хэшированный пароль функцией password_hash нужно использовать password_verify. Простое сравнение не сработает.
$row =mysql_fetch_row(mysql_query("SELECT password FROM g_users WHERE login='$login'"));
if (password_verify($password, $row[0])) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
Вот так все работает)

[FanatPHP]

щас он начнет оправдываться, что он это же и писал :)

[FanatPHP]

в любом случае, тот дилер который научил ребенка вот этому "mysql_fetch_row(mysql_query" - будет гореть в аду

[joker8999]

FanatPHP: а что в этом запросе не так?

[FanatPHP]

Во-первых, mysql_query не может породить ошибку само по себе. То есть, при ошибке SQL ты вместо нее увидишь только бессмысленный варнинг от mysql_fetch_row. у mysql_query всегда надо проверять результат. Во-вторых, сама по себе ситуация, когда одна функция лезет на другую - это признак глупости и непрофессионализма. Экономить на строчках таким образом не нужно. Если хочешь сократить код - напиши функцию, в которую и положи повторяющийся код.. Места займет меньше, а работать будет лучше. И в-третьих, внезапно Большой Красный Баннер по ссылке php.net/mysql_query Ну, и если говорить о запросе, то WHERE login='$login'" - это классическая SQL инъекция.

[joker8999]

Спасибо за ответ. Почему WHERE login='$login'" - это классическая SQL инъекция? я в примере не написал, но введенный логин очищается функцией
function sanitizeString($var) {
$var = strip_tags($var);
$var = htmlentities($var);
$var = stripslashes($var);
return mysql_real_escape_string($var);
}
только после этого сравнивается с бд.

[joker8999]

Или есть еще нюансы?

[FanatPHP]

есть. function sanitizeString - это такой же говнокод, как и все остальное, в реальной жизни неприменимый. для добавления переменной в запрос должны использоваться только подготовленные выражения.

[joker8999]

Спасибо, понял. Буду дальше изучать