Как работает password_verify?

Question

[Никита Братский]

<form action='login.php' method='POST'>
<p id='p-class'>Вход:</p>
<br>
<p id='p-class'>Имя:</p>
<input type='text' name='login2' id='in' required='required'><br><br>
<p id='p-class'>Пароль:</p>
<input type='text' name='password2' id='in' required='required'><br><br>
<button type='submit' name='submit-log' id='subb'>Войти</button><br><br>
</form>

<?php 
  require "db.php";
$login2 = $_POST['login2'];
$password2 = $_POST['password2']; 
    var_dump($password2);
    if (isset($_POST['submit-log'])) {
    $query2 = "SELECT password FROM users WHERE login ='$login2' LIMIT 1";
    #var_dump($query2);
    $query2 = mysqli_query($connect, $query2);
    if( $query2->num_rows ){
    if (password_verify($password2, $query2)) {
    echo "<div style='color:green; font-family: 'Lobster', cursive;'>Вы успешно вошли!</div>";
    
    }else{
      echo "<div style='color:red; font-family: 'Lobster', cursive;'>Пароли не совпадают!</div>";
    }
    }else{
      echo "<div style='color:red; font-family: 'Lobster', cursive;'>Пользователь не найден!</div>";
    }
    } ?>

Вот есть код, в бд существует пароль, с которым необходимо сравнить введённый пароль, но при выполнении кода выводит:

Warning: password_verify() expects parameter 2 to be string, object given in /home/.../login.php on line 56

Путь к файлу сократил.

Answer 1

[D3lphi]

<?php 
require "db.php";
$login2 = $_POST['login2'];
$password2 = $_POST['password2']; 
var_dump($password2);
if (isset($_POST['submit-log'])) {
    $query2 = "SELECT password FROM users WHERE login ='$login2' LIMIT 1";
    #var_dump($query2);
    $query2 = mysqli_query($connect, $query2);
    if( $query2->num_rows ){
        $hash = $query2->fetch_assoc()['password'];

        if (password_verify($password2, $hash)) {
            echo "<div style='color:green; font-family: 'Lobster', cursive;'>Вы успешно вошли!</div>";
        }else{
            echo "<div style='color:red; font-family: 'Lobster', cursive;'>Пароли не совпадают!</div>";
        }
    }else{
      echo "<div style='color:red; font-family: 'Lobster', cursive;'>Пользователь не найден!</div>";
    }
}

Answer 2

[Александр Шаповал]

В первый параметр ф-ции нужно вставить пароль введенный с формы, во второй параметр хэш который сохраненный в БД.

// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

Comments

[Никита Братский]

у меня выводится ошибка

[Никита Братский]

можно же по идее сранивать сразу с query2?

[Александр Шаповал]

Никита Братский: нужно получить и вставить туда хэш, в вашем случае $query2 != 'хэш'
не помню как там уже в mysqli получить данные, так что если работать не будет то смысл вы поймете и сделать что бы работало думаю сумеете

$query2 = "SELECT password FROM users WHERE login ='$login2' LIMIT 1";
    #var_dump($query2);
    $query2 = mysqli_query($connect, $query2);
    if( $query2->num_rows ){
$result = mysqli_fetch_assoc($query2);
    if (password_verify($password2, $result['password']))

[Никита Братский]

Спасибо!