Как сравнить пароль со старым md5?

Question

[maxim]

Столкнулся с проблемой, что сравнение паролей не хочет давать true, хоть я точно знаю, что они одинаковы.
md5, потому, что моя задача сохранить бд с юзерами, а сайт делался еще 5 лет назад и его надо обновить и добавить другие фичи..
Вот код:

if(password_verify($data['password'], $row['pass'])) {
//row - это то что я достал с дб(пароль). 
$_SESSION['logged_user'] = $user;
header("Location: cabinet/index.php");
}
else { 
    echo "не получилось";
}

На всякий случай:

spoiler

e67459d13869483c8d70238fee01b158c6459609a3854b724db0221fd0d659cd - хешированный пароль в дб
1234 - реальный пароль

Простите за тупой вопрос

Comments

[rst630]

а где код функции password_verify() ? Нам его угадать нужно?

[maxim]

rst630, это обычный метод..

[rst630]

а причем тут md5 в таком случае? Вы документацию почитайте https://www.php.net/manual/ru/function.password-ve... - вы генерировали этот хеш функцией password_hash()? С какими параметрами?

Answer 1

[Dmitry]

Если в бд у вас хранится md5-хеш пароля (что не рекомендуется), то сравнивайте пароли с помощью функции md5 https://www.php.net/manual/ru/function.md5.php

Comments

[maxim]

Это то?

[Dmitry]

m1rvi, да, это md5-хеш.

Для хеша c4ca4238a0b923820dcc509a6f75849b пароль будет 1

[maxim]

Дмитрий, Где узнал?

[alexalexes]

Нет, вот это интересует.

function password_verify($pass1, $pass2)
{
  // У меня тут написана функция сравнения хэшей, но я вам ее не покажу, у вас документов нету.
}

[Dmitry]

m1rvi, есть базы md5-хешей, и хеш такого популярного пароля, как 1, в них давно сохранен. Поэтому такой способ хранения паролей и не является безопасным.

alexalexes, это стандартная функция php https://www.php.net/manual/ru/function.password-ve...

[maxim]

Дмитрий, спасибо сейчас попробую

[maxim]

Дмитрий, Прости за мой тупизм.. Я уже пробывал это, и у меня не заработало, потому что я ввел 1234, вместо 1. Это так будет со всеми паролями ?

[Dmitry]

m1rvi, не совсем понятен вопрос "так будет со всеми паролями?".

Вам просто нужно использовать функцию md5 вместо password_verify:

if(md5($data['password']) === $row['pass']) {
	print("password = hash");
} else{
	print("password != hash");
}

[maxim]

Дмитрий, да я так и сделал. Получаеться все нормально будет работать?

[Dmitry]

m1rvi, да, но, как я указал выше, хранение md5-хеша пароля не является очень безопасным.
Т.к. у вас старый проект, то остается или оставить, как есть (если безопасность не является важным требованием), или сбросить пароли всем пользователям и использовать password_hash и password_verify (прочитайте документацию по ним, ссылки выше). Во втором варианте можно или автоматически изменить всем пользователям пароли и отправить им на почту новый пароль (не очень удобно, но эффективно), или предложить пользователю изменить пароль, когда он войдет в следующий раз на сайт.

[maxim]

Дмитрий, Да, я знаю что md5 вообще не вариант, я пользуюсь bcrypt.
В принципе, никому не нужно взламывать эту дб, поэтому оставлю все так)

Answer 2

[SagePtr]

Можно хранить к примеру несколько видов хешей - старые md5 и новые, полученные функцией password_hash.
А в самом коде проверять, если хэш начинается с $ - то это новый хэш, проверять его через password_verify, а если нет - то это старый хэш, проверять его примерно так:
if (hash_equals(md5($password), $hash))
Ну и в том случае, если хэш старого формата подошёл, то не просто пустить пользователя, но и сгенерировать из введённого им пароля новый хэш функцией password_hash и сохранить его в бд, чтобы со временем старые хэши заменились на новые.