Почему http аутентификация возвращает форму авторизации?

Question

[Антон Валерьевич]

Помогигите пожалуйста, почему не проходит аутентификация.
После ввода пары, лог и пасс, форма делает повторный запрос и так бесконечно, не пропускает дальше.
В лог ошибок, Apache не ругается.
Сервер домашний, смотрит в интернет. Apache2 4.25 работает в связке с NGiNX, PHP 7.0.3, MySQL 10.1.23-MariaDB, версия клиента базы данных: libmysql - mysqlnd 5.0.12.
Сервер работает по протоколу HTTPS.

<?php include("mysql.php");
if (!isset($_SERVER['PHP_AUTH_USER']))
{
	header("WWW-Authenticate: Basic realm=\"Admin Page\"");
    header("HTTP/1.0 401 Unauthorized");
	echo "Текст, отправляемый в том случае, если пользователь нажал кнопку Cancel";
	exit();
}
else {
    if (!get_magic_quotes_gpc())
    {
    $login = $mydb->real_escape_string($_SERVER['PHP_AUTH_USER']);
    $password = $mydb->real_escape_string($_SERVER['PHP_AUTH_PW']);
	}
    $query = "SELECT pass FROM users WHERE login='$login'";
    $lst = @$mydb->query($query);
    if (!$lst)
    {
        header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
        header ("HTTP/1.0 401 Unauthorized");
        exit();
	}
    if ($lst->num_rows == 0){
        header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
        header ("HTTP/1.0 401 Unauthorized");
        exit();
	}
    $pass = @$lst->fetch_array(MYSQLI_BOTH);
    if ($password != $pass['pass']){
        header ("WWW-Authenticate: Basic realm=\"Admin Page\"");
        header ("HTTP/1.0 401 Unauthorized");
        exit();
	}
}
?>

Вот содержимое файла mysql.php

<?php
$mydb=new mysqli('localhost', 'UserBD', '123BD123', 'DBtest');
/* check connection */
if ($mydb->connect_errno) {
    printf("Connect failed: %s\n", $mydb->connect_error);
    exit();
}
$mydb->query('SET NAMES utf8');
?>

Answer 1

[Сергей Ванюшин]

1. @ перед $mydb->query($query) уберите, чтобы ошибки запроса если что показывались.
   

2. $password = $mydb->real_escape_string($_SERVER['PHP_AUTH_PW']);

   в этом нет необходимости и возможно принесёт ошибки, т.к. вы получаете пароль (в открытом виде, кстати, храните? не надо так) в исходном виде, и стоит сравнивать именно с тем, что передал пользователь.
   if ($password !== $pass['pass']){
   
3. Переходите на PDO и параметризованные запросы. Меньше проблем, больше безопасность.
   

Comments

[Антон Валерьевич]

Убрал @ перед запросом, апач молчит.
Тогда может просто,

$password = $mydb->real_escape_string($_SERVER['PHP_AUTH_PW']);

Переписать на $password = $_SERVER['PHP_AUTH_PW'];
Таким образом просто $_SERVER['PHP_AUTH_PW'] занести в переменную $password ?
И да, пароль в открытом виде. Да мне и не надо особо заморачиваться. Мне этот скрипт нужен, чисто перекрыть доступ к админке самописного блока.

[Сергей Ванюшин]

Попробуйте так:

<?php 
include ('mysql.php');

if (!isset($_SERVER['PHP_AUTH_USER']))
{
  header("WWW-Authenticate: Basic realm=\"Admin Page\"");
    header("HTTP/1.0 401 Unauthorized");
  echo "Текст, отправляемый в том случае, если пользователь нажал кнопку Cancel";
  exit();
}

$res = $mydb->query('SELECT pass FROM users WHERE login="'.$mydb->real_escape_string($_SERVER['PHP_AUTH_USER']).'"');
if ($res !== false && $res->num_rows > 0)
{
    $user = $res->fetch_object();
    if ($user->pass === (string)$_SERVER['PHP_AUTH_PW']) {
        echo 'You got it!';
    } else {
        echo 'Invalid password';
    }
} else 
    echo 'User not found';

[Антон Валерьевич]

Сергей Ванюшин, Опять вернул форму и в лог ничего не ругнулся.