Не работает авторизация password_hash PHP 7.4?

Question

[Карлиндоу Мэрлифи]

/* регистрация */
        $ps= filter($_GET['password']);
        $ps_hash= password_hash($ps, PASSWORD_DEFAULT);
# беру пароль, хеширую, добавляю в бд
          qry("INSERT INTO `pidors` SET `login` = ?, `password` = ?",  array($login,$ps_hash));
# в бд добавляется. всё нормально.

/* авторизация */
        $password = filter($_GET['password']);
        $pw_hash = qry("SELECT `password` FROM `pidors` WHERE `login` = ? LIMIT 1", array($login));
#взял хэш пароля введённого логина, теперь сверяю пароль
        if(password_verify($password, $pw_hash)){
          $sql = acc("SELECT * FROM `pidors` WHERE `login` = ? AND `password` = ? LIMIT 1", array($login,$pw_hash));
        }

Алгоритм правильный? В чём яма?

Comments

[SagePtr]

А функция qry у вас что возвращает? Может быть, не то, что ожидаете.

[Денис Юрьев]

SELECT * FROM `pidors` WHERE ...

вам бы это.. отдохнуть

[Илья]

SELECT * FROM `pidors`
понятно

[FanatPHP]

самый главный вопрос задал SagePtr
Если эта функция действительно возвращает здесь хэш пароля, то тебя ждёт очень много боли в будущем.
Так что надеюсь что нет.

Помимо этого проблема ещё в непонятном заклинании

$sql = acc("SELECT * FROM `pidors` WHERE `login` = ? AND `password` = ? LIMIT 1", array($login,$pw_hash));

[Adamos]

Скорее всего, вместо qry нужно использовать что-нибудь вроде getArray.
В манере писавшего этот код функция, скорее всего, называется gay.

[Карлиндоу Мэрлифи]

Дамы и господа, то есть дело может быть только в самих запросах в базу данных?

[PanDar]

А сравнивается в авторизации пароль с хешем или хеш пароля с хешем?

[galaxy]

Помимо всего прочего, вот это, конечно, круто: filter($_GET['password'])
Пароль через GET? Ну-ну

Answer 1

[Kholmurod Isroilov]

У меня есть простой класс для этой задачи. Попробуйте.

Специальный класс Database для подключения к базе данных.

Database.php

class Database
{
    private $db;
    private static $staticConnect = null;

    private $dbHost = "localhost";
    private $dbUsername = "username";
    private $dbPassword = "password";
    private $dbName = "db";
    private $dbCharset = "utf8";

    private function __construct()
    {
        $this->db = new PDO(
			"mysql:host={$this->dbHost};
			dbname={$this->dbName};
			charset={$this->dbCharset}", 
			$this->dbUsername, 
			$this->dbPassword
		);
    }

    public static function getStaticConnect()
    {
        if (!self::$staticConnect)
        {
            self::$staticConnect = new Database();
        }

        return self::$staticConnect;
    }

    public function Connection()
    {
        return $this->db;
    }
}

Специальный класс Users для вашей задачи.

Users.php

include_once "Database.php";

class Users
{
    private $db;
    const TABLE_NAME = "users";

    public function __construct()
    {
        $staticConnect = Database::getStaticConnect();
        $this->db = $staticConnect->Connection();
    }
	
    public function createUser($data)
    {
        $username = $data['username'];
        $password = password_hash($data['password'], PASSWORD_DEFAULT);

        $sql = "INSERT INTO ".self::TABLE_NAME." (username, password) VALUES(:username, :password)";
	$params = [
    		':username' => $username,
		':password' => $password
	];
        $stmt = $this->db->prepare($sql);
	$stmt->execute($params);

	/**
	* Вы можете отобразить это сообщение, 
	* открыв session на странице users.
	**/
        $_SESSION['success'] = "Username and Password created successfully!";
        header('Location: users');
    }

    public function Login($data)
    {
        $username = $data['username'];
        $password = $data['password'];

        $sql = "SELECT username, password FROM ".self::TABLE_NAME." WHERE username = :username";
        $getUser = $this->db->prepare($sql);
        $getUser->bindParam(':username', $username);
        $getUser->execute();
        $rows = $getUser->fetch(PDO::FETCH_LAZY);

        if (empty($username) && empty($password))
        {
	    /**
	    * Вы можете отобразить это сообщение, 
	    * открыв session на странице входа.
	    **/
            $_SESSION['failed'] = "Username and Password can not be blank!";
        }
        elseif ($username == $rows['username'] && password_verify($password, $rows['password']))
        {
	    $this->setAuthSession();
            header('Location: admin');
        else
        {
	    /**
	    * Вы можете отобразить это сообщение, 
	    * открыв session на странице входа.
	    **/
            $_SESSION['failed'] = "Username or Password incorrect!";
	}
    }
	
    public function Logout()
    {
        session_destroy();
        header("Location: login");
        exit;
    }
	
    private function setAuthSession()
    {
	/**
	* Мы добавляем auth в session, 
	* чтобы убедиться, что пользователь 
	* вошел в систему.
	**/
        $_SESSION['auth'] = true;
    }
}

Comments

[FanatPHP]

это нерабочий код. откуда он взялся?
опечатка мелкая, но говорит о том что этот код никогда не запускался на практике
данные из БД попадают в переменную $rows, а обращение идет к $row

В целом попытка в правильном направлении, но код довольно нелогичный и запутанный
Какие-то шаманские телодвижения для получения к БД
например, почему getStaticConnect() возвращает инстенс бессмысленного класса Database, а не сразу само соединение, которое по сути и нужно?

проверка на пустоту логина и пароля происходит ПОСЛЕ того как выполнен запрос.
при этом пустой логин при непустом пароле вполне пропускает, а какой в этом смысл?

из серьезных проблем - не включен режим исключений для АДО

[Kholmurod Isroilov]

FanatPHP,
Я сказал, что это простой класс.

Что касается переменных $rows и $row и других недостатков, любой, кто хочет использовать этот класс, может прочитать код и изменить его по своему усмотрению. Никто никогда не пишет код, соответствующий задаче человека, задающего вопрос.

Поскольку я написал статический метод getStaticConnect(), цель состоит в том, чтобы один раз подключиться к базе данных и установить ссылку на статический атрибут с именем $staticConnect. Тогда подключение к базе данных сохраняет статический атрибут и не может подключаться к базе данных каждый раз.

[FanatPHP]

ты русский язык вообще понимаешь?
речь не о том что этот код не соответствует "задаче человека".
А о том, что он не соответствует своей собственной задаче. Он нерабочий.
Ты же не писал этот код специально, ты же взял готовый, "у меня есть простой класс".
Вот я и спрашиваю - откуда он у тебя взялся, и почему в нем такие дурацкие ошибки?

И опять же, я не спрашивал тебя, зачем ты написал статический метод getStaticConnect().
Я спрашиваю, почему он возвращает экземпляр класса Database, а не сразу соединение.

Почему надо писать

$staticConnect = Database::getStaticConnect();
$this->db = $staticConnect->Connection();

А не просто

$this->db = Database::getStaticConnect();

[Kholmurod Isroilov]

FanatPHP,
Он рабочий код и сейчас тоже работает нормально.
Он подходил для моей задачи, я просто постарался сделать его универсальным.
Я сам написал этот код и никуда его не копировал.
Причина, по которой я говорю, что у меня есть простой класс, заключается в том, что я писал этот класс раньше.
Если кто-то хочет использовать этот код, он может изменить его по своему усмотрению.

[FanatPHP]

Ну как он работает, если $row['username'] вызывает ошибку, поскольку никакой переменной $row в коде нет?

[Kholmurod Isroilov]

FanatPHP,
Измениль свой ответь.
Конечно, любой, кто хочет использовать этот код, сначала проверит его.
Не правда ли?