Как сравнить два хешированных с помощью password_hash() пароля?

Question

[Fellzo]

Собственно суть. В БД хранится хешированный пароль и соответственно в куках тоже. Как их сравнить?

Answer 1

[Сергей Протько]

php.net/manual/en/function.password-verify.php

и только так.

Comments

[Fellzo]

Так штука в том что у меня 2 хеша, а там пароль в изначальном виде и хеш

[Сергей Протько]

Fellzo: вы тип базу брутфорсите?

[Сергей Протько]

Fellzo: если у вас есть два хэша то просто проверяете через "===". Другое дело что если вы это используете именно для проверки пароля - не делайте так.

[Fellzo]

Сергей Протько: Не, тип в базе лежит хеш и в куках лежит хеш и нужно их сравнить

[Fellzo]

Сергей Протько: А как лучше сделать?

[Александр]

Fellzo: у вас неверно работает авторизация, после авторизации записывайте id в сессию, а по нему уже и проверяйте залогинен пользователь или нет.

[Сергей delphinpro]

Сергей Протько: >> если у вас есть два хэша то просто проверяете через "===".
два хеша от одного пароля, созданных функций password_hash вроде бы всегда будут различаться? Поэтому и существует функция password_verify

[Fellzo]

Сергей: По идее они будут равны тогда, когда использовалась одинаковая соль. Хочу попробовать использовать password_needs_rehash() с одинаковой солью и взглянуть на результат

[Сергей delphinpro]

Fellzo: Я пробовал создавать хеши с незаданной солью. они всегда были разными. Думаю с солью будет также? Могу ошибаться, и при не заданной соли, соль генерится автоматом.

[Сергей Протько]

Сергей: вы пытаетесь устранить симптом. По сути вы экспоузите пароль пользователя наружу, это не секьюрно и нелогично.