Разный хэш password_verify и password_hash?

Question

[LYTK4]

Использую для хранения паролей password_hash, на локалке все было хорошо, перенес на хост, и теперь для одного пароля выводиться разный хэш, почему так?

Answer 1

[FanatPHP]

Не поверишь - в этом и есть весь смысл password_hash - чтобы для одного и того же пароля всегда генерировался разный хэш.

Чтобы когда злобный хакир вася скачал твою базу, он не мог тупо сравнить ее с уже имеющейся базой соответствия хэшей и паролей.

Answer 2

[Rsa97]

Хэш, который генерирует password_hash содержит всю информацию, которая нужна password_verify для сравнения пароля с этим хэшем. Если соль не задана вручную, то повторные запуски password_hash всегда дают разные хэши для одного пароля, поскольку соль в этом случае генерируется случайно.

Comments

[LYTK4]

Дак а почему у меня на локальном серваке все сверяло нормально, а здесь нет? Сверяю пароль:

if(password_verify($psw, $rowps['pass'])) {
 echo "Пароль верный" 
} else { echo "неверный"
}

Записываю в бд

$crpsw = password_hash($psw, PASSWORD_DEFAULT);
// здесь запрос sql

[Rsa97]

LYTK4, А ошибок никаких при этом не выдаёт? В логах чисто? Длины поля в базе данных хватает под хэш?

[Rsa97]

LYTK4, Попробуйте для проверки выполнить password_verify сразу после password_hash