Можно ли использовать функции внутри SQL запроса?

Question

[tester]

<?php
$login = filter_var(trim($_POST['login']),
    FILTER_SANITIZE_STRING);
$password = filter_var(trim($_POST['password']),
    FILTER_SANITIZE_STRING);

$mysql = new mysqli('localhost', 'root', '', 'register');
$result = $mysql->query("SELECT * FROM `users` WHERE `login` = '$login' AND 'password_verify($password, `password`)' = 1");

$mysql->close();
$user = $result->fetch_assoc();
if(count($user) == 0) {
    echo 'Не было найдено такого пользователя';
    exit();
}

Как проверить пароль используя password_verify() ?

Answer 1

[Максим]

Нюансы при использовании функций SQL языка:

• Какая-то часть бизнес логики уходит в неконтролируемые вещи вроде SQL. Пароль лучше точно проверять не функцией SQL, а функцией PHP. В таком случае код будет полностью соответствовать бизнес требованием и тесты не будут работать с базой.
  
• Использование SQL функций в запросах игнорирует индексы. Поэтому на больших данных и сложных запросах время работы такого запроса может увеличиться.
  

Answer 2

[Rsa97]

$mysql = new mysqli('localhost', 'root', '', 'register');
$stmt = $mysql->prepare("SELECT `password` FROM `users` WHERE `login` = ?");
$stmt->bind_param('s', $login);
$stmt->execute();
$stms->bind_result($hash);
if (!$stmt->fetch() || !password_verify($password, $hash)) {
  echo 'Error';
}

Answer 3

[Ищю в поисковиках]

Использовать функции конечно можно, но только встроенные ( как я понял, тут речь о php функциях).

Пароли, в большинстве случаев, кодируются MD5() функцией. Советую не изобретать велосипед, если оно того не стоит.

Comments

[tester]

Я думал md5() устарел, но хорошо, буду использовать его)

[Илья]

Воу-воу, человеки, легче. Не надо хранить пароли в md5, это даже в документации написано md5

[Ищю в поисковиках]

tokmaganbet, все зависит от конкретной задачи. Результат выполнения php функции вы можете вставить в запрос, но применить php функцию к данным таблицы нельзя.

Если задача - проверить было ли изменено содержимое статьи, то использование встроенной md5 функции более чем оправдано.

Пароли, лучше не передавать в открытом виде и не хранить. Поэтому, при установке/смене пароля используйте md5. При select запросах вы уже будете сравнивать хеши, не нагружая бд лишними запросами.

[Дмитрий]

qid00000000, ну ответил же Илья, что лучше не использовать md5(), даже ссылку дал на документацию, а Вы за своё...

[Ищю в поисковиках]

Дмитрий, во время написания мной комментария, этот комментарий не был виден.

Несмотря на это - многие CMS (wordpress. Opencart,..) хранят пароли в бд хешированные md5 алгоритмом.

Скорее всего, в заметке подразумевается, что на устройстве не нужно хранить пароли, в том числе и их хеш. Однако, сайты тоже не могут похвастаться безопасностью.

Владельцы сайтов платят за вычислительные ресурсы. (виртуальный хостинг). Увеличение сложности хеширование, приведет к увеличению нагрузки, как итог - большей трате средств на обслуживание. А так как большинство из людей жадные и ищут как размещать сайты дешевле на более стабильных серверах, то использование md5 в хранении паролей в базе данных ещё не скоро уйдет.

Илья спасибо за заметку :)