Получение хешированого с солью пароля из БД?

Question

[Kt0T0]

У меня есть хешированый пароль (SHA256) с солью в Базе данных



как мне их проверять с введеным паролем в форме авторизации ?



Спасибо.

Answer 1

[Сергей delphinpro]

Учебный проект? Сразу учитесь делать более менее правильно.

при регистрации получаем логин и пароль из формы, пароль хешируем.

$login = $_POST['login'];
$hash = password_hash($_POST['password']);

сохраняем пару в базу.

при логине, получаем логин и пароль из формы, делаем запрос в базу

$login = $_POST['login'];
$password = $_POST['password']; // не хешируем

SELECT * FROM users WHERE login = '$login'

Если запись в базе нашлась, то проверяем пароль

if (password_verify($password, $hash_from_db)) {
  // пользователь аутентифицирован
} else {
  // пара логин/пароль неверная
}

Comments

[FanatPHP]

ты это. инъекцию-то зачем пишешь?
одной рукой лечим, другой калечим

[Сергей delphinpro]

FanatPHP, Я хотел внизу примечание добавить про инъекции, но забыл пока писал.

[FanatPHP]

Да толку с этих примечаний
как будто ты сам их читаешь. А прочитав - бежишь прям выполнять, роняя тапки

Вот иногда я смотрю на тостер и думаю - логика, она вообще существует? или математики выдумали для своего развлечения?
Скорее всего второе.
потому что ну нельзя же всерьёз показывать на пальцах готовый пример как взяться двумя руками за ноль и фазу, и тут же писать мелким шрифтом что делать это нельзя. Ну блин логика на уровне блондинки, "у тебя свет есть? не знаю, я не вижу!"

Answer 2

[maddimas]

Сложить (конкатенировать) введённый пароль с солью и передать в качестве параметра в метод hash с указанным алгоритмом. Результат сравнить с сохраненным в БД хэшем.

Comments

[Kt0T0]

Извиняюсь, я только начал углубляться в php, и пока не могу представить как это реализовать кодом, буду очень признателен если вы поможете, ещё раз простите за наглость

[maddimas]

Kt0T0, например

error_reporting(0);
$password = "пароль";
$hash = "9d3cecec98cbe2b330c2a91dd341e292ef9917ef1606f89118170414babe23c0";
$salt = "соль";

$tmpStr = $password.$salt;
$tmpHash = hash("sha256", $tmpStr);

if($hash===$tmpHash){
    echo "Вы авторизованы";
} else {
    header('HTTP/1.0 401 Unauthorized'); 
    exit;
}

Но вот конкатенация пароля с солью может быть другой. Правильный алгоритм скажет тот кто генерил хэши.

[FanatPHP]

а error_reporting(0)-то зачем?

[maddimas]

FanatPHP, все скрипты, занимающиеся авторизацией не должны выдавать ошибок для исключения изучения этого скрипта. Но, в целом это можно опустить.

[FanatPHP]

два вопроса
1. а скрипты которые не занимаются авторизацией, должны вываливать все кишки наружу?
2. какое отношение имеет error_reporting() к "выдаче" ошибок "для изучения"? Что если почитать в документации, за что отвечает эта функция, и где там написано что она что-то "выдаёт"?

[maddimas]

FanatPHP, вы придираетесь. Эта функция с этим параметром выключает вывод любых ошибок и предупреждений. Она ничего не выводит. Это чисто вкусовщина на всякий случай, чтобы не сделали SQL инъекцию например.

[FanatPHP]

да, я придираюсь. потому что верить в такую чушь - это позор.
потому что эта функция вообще никакого отношения к выводу ошибок не имеет
за вывод ошибок отвечают совсем другие функции. ЕЩЁ РАЗ рекомендую прочитать в документации, есть ли там хоть что-то про ВЫВОД.