Как убедиться что запрос к БД выполнен?

Question

[Оптимус Пьян]

Ситуация: пользователь забыл пароль и меняет его на новый (такой же), пароль солится и их хеши со старым равны. MySQL (PDO) делает запрос и возвращает что было изменено 0 строк.
Всё верно, изменений с точки зрения БД не было, данные не изменились, но по сути операция прошла успешно. Как отследить это и сказать пользователю что всё хорошо. Смотреть не возникло ли ошибок при запросе к БД и если нет, то считать что всё ок?
Или тут транзакцию можно использовать?

Comments

[Александр Шаповал]

может try{} catch() подойдет

[Оптимус Пьян]

Александр Шаповал: он ловит жестокие ошибки когда имя таблицы или столбца указано не правильно, тут всё пройдёт и try{} catch() даже не пикнет

[FanatPHP]

Александр Шаповал: не подойдет

[FanatPHP]

Оптимус Пьян: а ты какую ошибку здесь отлавливать собрался?

Answer 1

[Melkij]

Переключите PDO::ATTR_ERRMODE в PDO::ERRMODE_EXCEPTION. Если exceptin прилетел - значит запрос выполнен не был.
Не было исключения - значит запрос выполнен.

их хеши со старым равны

И это криптографически плохо. См. стандартные password_hash + password_verify

Comments

[Оптимус Пьян]

Спасибо. Так если пароли одинаковые, разве могут у них бить хеши разные?

[Александр Шаповал]

Оптимус Пьян: если использовать password_hash то да, могут

[Melkij]

В нормально сделанной современной криптографии - хеши будут разные каждый раз.

melkij@melkij:~$ php -r 'echo password_hash("123",PASSWORD_DEFAULT),PHP_EOL;'
$2y$10$.wFLmglfYjhmKuZjsvAa1u2lSWF7wI6R3ilPgudWd6/dVNfeVErhS
melkij@melkij:~$ php -r 'echo password_hash("123",PASSWORD_DEFAULT),PHP_EOL;'
$2y$10$o1.xhs.HIMhajariJat.u.RH/byF.oon2.5raRMCR5gFKyjYmzE5O
melkij@melkij:~$ php -r 'echo password_hash("123",PASSWORD_DEFAULT),PHP_EOL;'
$2y$10$Tlbr.CS53SgeCySiGbAr.u1cMgPJUr9pM8OdgWIvhjvg13GNnUWc.

[Оптимус Пьян]

Melkij: И как их выбирать тогда из БД? Или password_hash умный, расшифрует его и будет искать по паролю? Но хеш же не расшифровывается....

[Александр Шаповал]

Оптимус Пьян: выбирай нужного пользователя только по логину, а пароль потом сверишь.

[Оптимус Пьян]

Александр Шаповал: не понял, ну выбрал я по логину, а дальше?

[Александр Шаповал]

Оптимус Пьян: а дальше сравниваешь пароль введенным в форму с хешем пользователя взятого с БД через password_verify

[Александр Кузнецов]

Оптимус Пьян: А дальше php.net/manual/ru/function.password-verify.php

[FanatPHP]

> если пароли одинаковые, разве могут у них бить хеши разные?

Оптимус Пьян: подумай, для чего нужна соль.

[Оптимус Пьян]

FanatPHP: Соль нужна что бы если захешированные пароли попадут в чужие руки их сразу не разгадали по таблицам

[FanatPHP]

Оптимус Пьян: я не спрашивал тебя, зачем нужна соль. Я просил тебя подумать. И ответить самому себе, могут ли хэши быть разными. И почему

Answer 2

[Александр Кузнецов]

Поддержу ответ Melkij
Используйте предложенные функции для криптографии, с точки зрения безопасности они оптимальны. Проверку паролей, как я указал в комментарии, делаем через php.net/manual/ru/function.password-verify.php
Если таких функций нет, то нас спасет https://github.com/ircmaxell/password_compat

Answer 3

[FanatPHP]

Не надо ни в чем убеждаться.

Эти бессмысленные телодвижения, которые так любят пользователи похапе - тяжелое наследие царского режима и видеокурсов "Начни грести бабло за 3 урока".

Ни одна нормальная программа не занимается такой ерундой, как проверка каждого несчастного запроса на ошибки, и не начинает причитать "ой, у нас такой-то запрос сломался" если ошибка произошла.

Не надо ни в чем убеждаться. Не надо смотреть ни на какие ошибки запросов.
Надо ПРОСТО сказать пользователю, что все хорошо, без всяких условий. Ошибки, если будут, обрабатываются совсем в другом месте.