Как «конвертировать» зашифрованный пароль с базы данных в нормальный текст?

Question

[Foxrey]

<?php
	session_start();
	$username = filter_var(trim($_POST['username']), FILTER_SANITIZE_STRING);
	$password = filter_var(trim($_POST['password']), FILTER_SANITIZE_STRING);


	$mysql = new mysqli('localhost', 'root', '', 'user');
	$result = $mysql->query("SELECT * FROM users WHERE username='$username' AND password='$password'");
	$user = $result->fetch_assoc();
	
	
	if(count($user) == 0){
			echo "no";
	}else{
		echo "yes";	
	}
	session_destroy();

?>

Comments

[Модератор]

https://toster.ru/help/rules
3.8

Для комментирования ответа жмите линк "Комментировать" под ответом
Не нужно писать комментарий в форме для ответа
Оповещения о такой реплике не поступит автору ответа

Не нужно засорять секцию ответов "спасибовсем", "решено" и тп

Answer 1

[Сергей delphinpro]

Пароли в базе обычно не шифруются, а хешируются.
Хеширование необратимо.

Comments

[Foxrey]

я делаю авторизацию на сайте и мне необходимо превратить захеширований текст обратно

[Сергей delphinpro]

Foxrey, не нужно его превращать в текст.
Наоборот. пароль из формы хешируйте и проверяйте с хешем в базе

Пароли в базе обычно не шифруются, а хешируются.
Хеширование необратимо.

UPD

$username = ...;
$password = ...;

$user = "SELECT * FROM users WHERE username='$username'";

if ($user) {
    if (password_verify($password, $user->password)) {
        if (password_heed_rehash($user->password, PASSWORD_DEFAULT)) {
            $user->password = password_hash($password, PASSWORD_DEFAULT);
            $user->save();
        }
        $message = 'You are logged in!';
    } else {
        $message = 'Incorrect username or password';
    }
} else {
    $message = 'Incorrect username or password';
}

Answer 2

[Иван Шумов]

Никак. Хэш от пароля должен быть односторонним. Берем хэш от присланной строки и сверяем результат с тем что в бд

Answer 3

[ThunderCat]

Так не делается. Выбирается пользователь с нужным никнеймом, затем переданный пароль хешируется методом используемым при регистрации(если используется простое хэширование) и сравниваются хеши, или проверяется через password_verify, если использовалось более современное решение через password_hash().

Answer 4

[Kozlov]

Для хэширования пароля используй функцию password_hash, а при авторизации сверяй пароль из инпута с хэшем в базе функцией password_verify

Comments

[Foxrey]

<?php
session_start();
$username = filter_var(trim($_POST['username']), FILTER_SANITIZE_STRING);
$password = filter_var(trim($_POST['password']), FILTER_SANITIZE_STRING);

$mysql = new mysqli('localhost', 'root', '', 'user');
$result = $mysql->query("SELECT * FROM users WHERE username='$username' AND password='$password'");
$user = $result->fetch_assoc();


if(password_verify($password, $user['password'])){
echo "success";
}
else{
echo "error";
}
session_destroy();

?>

[Foxrey]

все ли хорошо, не роботает

[Kozlov]

Foxrey, $result = $mysql->query("SELECT * FROM users WHERE username='$username');
Тебе нужно искать только по логину

[Foxrey]

Kozlov,
ничего не поменялось, что еще может быть не так

[Kozlov]

$login = $_POST['login']; $pass = $_POST['pass'];

$db = mysqli_connect('localhost','root','','test');

if ($db == false) {
	echo 'ERROR: '.mysqli_connect_error();
	die();
}
$result = mysqli_query($db,"SELECT * FROM `users` WHERE `login` = '$login'");

while (($user = mysqli_fetch_assoc($result))) { 
	if (password_verify($pass, $user['pass'])){
		echo '<h1>Привет, <i>' . $user['login'] .'</i></h1>';
	}else{
		echo 'Такого пользователя нет!';
	}
}

[Foxrey]

Kozlov,

спасибо все работает.