Как сверить захешированый пароль из БД с введённым из input?

Question

[prrrrrrr]

Как сверить захешированый пароль из БД с введённым из input?

Проверку делаю таким образом:

$_SESSION['logged_user']->password != $data['password']

Сверка не получается я так понимаю из за хеша, потому что если сделать таким же образом сверку с id ($_SESSION['logged_user']->id), и в инпуте ввести верный id, то действие проходит успешно.

Хеш при регистрации:

$user->password = password_hash($data['password'], PASSWORD_DEFAULT);

Answer 1

[leni_m]

хешируйте введённый пароль и сравнивайте

Comments

[Павел Корнилов]

$_SESSION['logged_user']->password !== hash($data['password'])

[prrrrrrr]

Павел Корнилов, leni_m Анатолий Цивилёв
Хеширую при регистрации так:

$user->password = password_hash($data['password'], PASSWORD_DEFAULT);

Пытаюсь сделать как вы сказали так:

$_SESSION['logged_user']->password != password_hash($data['password'], PASSWORD_DEFAULT)

Не получается всё-равно

[ThunderCat]

Павел Корнилов, чет слишком просто и в общем случае может нифига не работать, ибо соль, password_hash() и тд.

[prrrrrrr]

ThunderCat, как сверить, если используется password_hash()?

[Павел Корнилов]

Должно получиться по идее.

ThunderCat, ну, в вопросе этих вводных не было. Я и привёл пример простейшего случая.

[ThunderCat]

prrrrrrr, password_verify()

[prrrrrrr]

ну и всё равно не работает

password_verify($_SESSION['logged_user']->password, PASSWORD_DEFAULT) != $data['password']

[leni_m]

prrrrrrr, клац
т.е. так:

password_verify ( $data['password'] , $_SESSION['logged_user']->password )

Answer 2

[Rsa97]

Парная к password_hash - password_verify

Comments

[prrrrrrr]

ну и всё равно не работает

password_verify($_SESSION['logged_user']->password, PASSWORD_DEFAULT) != $data['password']

[AHTUxPK]

prrrrrrr, почитайте внимательнее документацию этой функции по ссылке, пример там тоже есть

[prrrrrrr]

AHTUxPK, у меня даже по примеру всё-равно выходит else { echo 'пароль неправильный'; }

<? if (password_verify($_SESSION['logged_user']->password, PASSWORD_DEFAULT)) { echo 'пароль правильный'; } else { echo 'пароль неправильный'; } ?>

[Rsa97]

prrrrrrr, Потому что вы неправильно используете функцию. Первым аргументом должен быть проверяемый пароль, а вторым - хэш, по которому идёт проверка пароля, а не константа PASSWORD_DEFAULT.

Answer 3

[Талян]

$_SESSION['logged_user']->password;

Ого, а я и не знал, что в сессии объекты могут храниться О_о.

Если вы сравниваете нехешированный пароль из input с хешированным паролем из БД, то логично что проверка не пройдёт. Захешируйте пароль из input тем же алгоритмом, что и хеширует пароль перед занесением в БД, а после уже и сравнивайте.

Если честно из вашего кода я вообще не вижу ни переданных данных $_GET/$_POST из input'a, ни работы с БД. Я вижу как вы сравниваете данные из сессии с массивом $data. Какой-то очень интересный у вас механизм.

Comments

[Lander]

Ого, а я и не знал, что в сессии объекты могут храниться О_о.

Невероятно, но факт.