Почему логинится под любым возможным паролем?

Question

[killsxs]

При авторизации пользователь может войти под любым паролем, в чём проблема?

$password = $_POST['password'];

$hash = password_hash($password, PASSWORD_DEFAULT);

if (password_verify($password, $hash)) {
        $_SESSION['username'] = $username;
        $fmsg = 'Вы вошли под пользователем';
        header('Location: index.html');
}

Comments

[lohatnikov]

один и тот же пароль хешируете и поверяете

[killsxs]

lohatnikov, и как это исправить? я уже и так пробовал, не получается. В этом случае входит только под заданным паролем

$hash = '$2y$10$JwKVTFX73osL3hu7zeGjO.yvHFAsCcSCWzhVFN//.0mAkfGo.9f1y';

if (password_verify('123', $hash)) {
    $_SESSION['username'] = $username;
    $fmsg = 'Вы вошли под пользователем';
    header('Location: index.html');
} else

[lohatnikov]

killsxs, да никак. пароль надо сохранить. и при последующем входе сравнивать с сохраненным. так php работает. вы же просто берете хэш от того что прилетело постом и проверяете что хэш валиден для того что вы ввели

[lohatnikov]

killsxs, да, все правильно - $hash = '$2y$10$JwKVTFX73osL3hu7zeGjO.yvHFAsCcSCWzhVFN//.0mAkfGo.9f1y'; что это делает строка? правильно - сохраняет хэш пароля

[killsxs]

lohatnikov, прошу понять, что у меня отдельная страница, т.е регистрация отвечает за автоматический хэш пароля и сохраняет его. Мне не зачем сохранять хэш в авторизации

[killsxs]

lohatnikov, мне надо просто проверить пароль '12345', который как-либо захэширован и если пароль, который ввёл пользователь совпал с хэшированным паролем, перейти на главную страницу сайта. Зачем мне сохранять хэш при проверке?

[Sergo Zar]

killsxs, тебе нужно сохранить хеш при регистрации,например в базу данных, и при входе сравнить хеш введенного пароля с сохранённым хешем.

Напишу на псевдокоде:

// регистрация
получаем логин 
получаем пароль
хешируем пароль
записываем пароль и логин в базу данных
//вход
получаем логин
получаем пароль
если в базе данных есть такой логин: 
    получаем записаный хеш пароля этого логина
    если хеш полученого пароля совпадает с хешем в базе данных:
         // ..ты вошёл или типо того

[killsxs]

Sergo Zar, т.е мне нужно добавить отдельное поле под хэш в БД?

[lohatnikov]

killsxs, обычно логин и хэш пароля хранят в базе

1 этап - идентификация. мы должны знать какой конкретно пользователь пришел.
Например идет человек в элитный ресторан, где всех подряд не пускает. он подходит к охранникам и говорит - я - Вася Петров.
На веб сайтах для идентификации используют логин или почту, реже телефон. Но нужен идентификатор, чтобы понять кто конкретно хочет войти.

2 этап - аутентификация. Мы такие - ну допустим ты Вася Петров. А чем докажешь. надо подтвердить. Вася Петров предъявляет паспорт например.

Аутентификация на классическом сайте - пользователь предъявляет пароль. Но мы не храним их в открытом в виде. мы храним хэши. чтоб пароли явно не сливались. так вот если hash(A) = hash(B), то A == B.
Тоесть для проверки нам надо хранить хэш пароля указанного при регистрации - hash(A). А при логине проверить что hash от присланного пароля равен данному хэшу.

Тут еще есть третий этап - авторизация, это про права которые доступны пользователю. Но ты до этого этапа уже не дойдешь наверно

[killsxs]

lohatnikov, ты мне сейчас открыл Америку (нет). Я говорю, как реализовать проверку и вход, а ты мне говоришь теоретические факты, которые уже реализованы в практическом виде.

[Sergo Zar]

killsxs, да. Пароль там в открытом виде не будешь же хранить

[killsxs]

Sergo Zar, нет. Я имею ввиду, что у меня поле под пароль есть, зачем мне отдельное поле под хеш, если его можно зашифровать и записать в поле с паролем

[ThunderCat]

killsxs,

зачем мне отдельное поле под хеш,

Отдельное не нужно, смысл не в том что поле под хэш нужно, а в том что ОКРЫТЫЙ пароль хранить нельзя.

если его можно зашифровать и записать в поле с паролем

Ничего шифровать не нужно, нужно ХЕШИРОВАТЬ, это 2 абсолютно разные вещи.

Короче заканчивай тупить, у тебя в коде вообще никак привязка данных от пользователя к данным хранимым в бд не реализована, прочти все что тебе тут понаписали, сядь, подумай, отметь решением верные пути решения твоей проблемы и напиши нормальный код.

[Sergo Zar]

killsxs, эх..
(из старого моего кода)

<?php

$link = mysqli_connect("localhost","root","","sergozar_db");

if($link == false){
    echo "Помилка: Неможливо під'єднатися до MySQL".mysqli_connect_error();
}
else{
    mysqli_set_charset($link,"utf8mb4");
    if(isset($_POST["username"]) && isset($_POST["password"])){
        
        if($_POST["username"] == "" || $_POST["username"] == " "){
            echo "Введіть ім'я!";

        } 
        elseif ($_POST["password"] == "" || $_POST["password"] == " ") {
            echo "Введіть пароль!";
        }

        else{
            $nam = $_POST["username"];
            $pass = $_POST["password"];
           
            $query1 = "SELECT * FROM `chat_reg` WHERE UName='$nam'";
            $read = mysqli_query($link,$query1);
            $row = mysqli_fetch_array($read);
            $r = password_verify($pass, $row["UPassword"]);

            if($r == true){
                setcookie('username4', $nam,time()+(86400*30),"/");        
            }
            else{
                
            
                echo "Користувача не знайдено або не вірний пароль.";

            }
        }
        
    }
}
?>

разберешся или объяснить?

Answer 1

[Константин Б.]

Ну так вы один и тот же пароль хешируете и сверяете с его же хешем

Comments

[killsxs]

и как это исправить?

[Константин Б.]

killsxs, спросите у Бога. Переписать то что вы понаписали чтобы сверять с другим паролем. Логично же

[Константин Б.]

killsxs, у вас должен быть пользователь, у него должен храниться хеш пароля. Назовите сначала пользователя по логину, далее сверяете введеный пароль с хешем узера. Нагуглить можно на раз два

[Александр Торопов]

killsxs, if (password_verify($password, $hash)) {
вот в этой строчке должен быть пароль с которым сверяете а не переменная $password

спросите у Бога

и не называйте меня Богом, это код который я оставлял к вашему прошлому вопросу)

[killsxs]

Александр Торопов, я сделал вот так, но при этом у меня теперь логиниться под любым паролем

$hash = password_hash('12345', PASSWORD_DEFAULT);
if (password_verify('12345', $hash)) {

[killsxs]

Александр Торопов, могу объяснить всю ситуацию в целом. У меня 2 вкладки. На одной генерируется хэш, то бишь - регистрация на сайте. На второй - авторизация. То бишь, проверка пароля на хэш и если пароль, захэшированный введен верно, пользователь переходит на основную страницу. Так вот, у меня например есть admin - пароль 123, user - пароль 12345, если брать то, как сверяется пароль, по вашей системе, то у всех пользователей должен быть одинаковый пароль

[FanatPHP]

Что ты называешь "регистрацией"? Что конкретно при этом происходит?

[killsxs]

FanatPHP,

<?php
session_start();
require('connect.php');
	
if (isset($_POST['username']) and isset ($_POST['password'])){

	$hash = password_hash($password, PASSWORD_DEFAULT);
	$username = $_POST['username'];
	$email = $_POST['email'];
	$password = $_POST['password'];
	$role = $_POST['role'];

	$query = 'INSERT INTO users SET username="'.$username.'", email="'.$email.'", password="'.password_hash($password, PASSWORD_DEFAULT).'", role="user"';

	$result = mysqli_query($connection, $query);

	if ($result){
		header('Location: index.html');
		$smsg = "Регистрация прошла успешно";
	} else { 
		$fsmsg = "Ошибка";
	}
}

[maksam07]

killsxs, тяжелый случай. Пройди, пожалуйста, туториалы на ютубе по созданию регистрации/авторизации на сайте

[killsxs]

Максим Компаниец, можно-было более тупее? Туториалы на ютубе показывают как реализовать, а не как решить проблему. При реализации в голове закладываются мысли, после которых у тебя появляется желание добавить что-нибудь новое. Ты опять будешь искать это в ютубе, исходя из прошлой реализации, новая фича, со своей реализацией, выдает ошибки, после которых код крашится. Ты сейчас просто выплюнул каплю в море, со своим ответом

[maksam07]

killsxs, возможно пример в документации натолкнет тебя на какие-то мысли
https://www.php.net/manual/ru/function.password-ve...
а вообще тебе уже дали ответ

Answer 2

[Yupiter7575]

Берите пароль из бд, и его проверяйте

Answer 3

[ThunderCat]

killsxs, Учитесь описывать задачу/проблему словами, максимально подробно, для себя хотя бы.
В идеале что-то типа такого у вас должно получиться:

Я, при регистрации:
1) Генерирую хеш пароля,
2) обрабатываю другие поля,
3) все это записываю в базу,
таким образом у меня есть некоторая информация, идентифицирующая пользователя.

При авторизации я должен:
1) Получить от пользователя логин и пароль
2)...
3)...

Ну и тут просто надо подумать и дополнить недостающее. Именно так примерно работает мозг здорового программиста...