Witam

Mam problem z logowanie, ponieważ nie wiem jak odczytać zaszyfrowane hasło.

W rejestracji wrzucam je tym:

[PHP] pobierz, plaintext 
$new_password = password_hash($this->password, PASSWORD_DEFAULT);
[PHP] pobierz, plaintext 

W logowaniu próbuję wybrać i odczytać tym ale nie przepuszcza. Hasła nie szyfrowane loguje normalnie.

[PHP] pobierz, plaintext 
function logowanie(){
 
 
		try{
 
$query = $this->pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
 
$query->execute(array(':username'=>$this->username,':password'=>$this->password));
 
		}catch(Exception $e){
 
			echo $e->getMessage();
		}
 
		$wynik = $query->fetch(PDO::FETCH_ASSOC);
 
 
        if(password_verify($this->password, $wynik['password'])){
 
 
            return TRUE;
 
        }else{
            throw new Exception("error");
        }
 
    }
[PHP] pobierz, plaintext 

Jak to poprawić?

$query->execute(array(':username'=>$this->username,':password'=>$this->password));
A co masz pod $this->password?

W ogole w tym warunku ma nie byc password, tylko samo username. password potem sprawdzasz przez password_verify()

Pod $this->password siedzi to co wpiszę w formularzu logowania. Wyżej jest przekazywane.

I jak dalej?

I jak string 'moje_haselko' ma być równy np zapisanemu w bazie $argon2i$v=19$m=1024,t=2,p=2$TmxLemFoVnZFaEJuT1NyYg$4j2ZFDn1fVS70ZExmlJ33rXOinafcBXrp6A6grHEPkI ?
Masz pobrać użytkownika bez AND password... i następnie sprawdzić password_verify oba stringi.

Tylko broń cie panie nie próbuj robić password_hash i tego porównywać gdziekolwiek...

Nie do końca rozumiem. Dlaczego nie pobierać password z bazy(czyli tego ciągu znaków zaszyfrowanego) skoro muszę go przyrównać z tym co w formularzu ktoś podaje?

Chyba że ja nie rozumiem na czym polega rozszyfrowanie tego.



Dokładnie - chyba nie wiem na czym to polega

Możecie rozjaśnić? Tylko nie odsyłajcie do manuala bo ja już parę dni z tym walczę.

Masz pobrać hasło z bazy ale tylko na podstawie username. Ta część - AND password = :password nigdy ci się nie zgodzi bo to dwa różne stringi.
I do tego skrypt wywali ci się jeśli wybierze więcej niż jeden wynik.

Tutaj masz masz opisane bez bazy.

Wróciłem do tego projektu po dłuższym czasie ale nadal jest problem.

Otóż przepuszcza mnie z byle jakim hasłem.

Pod $this->password siedzi hasło, które przyszło z formularza
a pod $wynik['password'] jest zaszyfrowane hasło z bazy

Jak to naprawić?

[PHP] pobierz, plaintext 
 
    function logowanie(){
 
 
    		try{
 
    $query = $this->pdo->prepare("SELECT * FROM users WHERE username = :username");
 
    $query->execute(array(':username'=>$this->username));
 
    		}catch(Exception $e){
 
    			echo $e->getMessage();
    		}
 
    		$wynik = $query->fetch(PDO::FETCH_ASSOC);
 
 
            if(password_verify($this->password, $wynik['password'])){
 
 
                return TRUE;
 
            }else{
                throw new Exception("error");
            }
 
        }
 
[PHP] pobierz, plaintext 

No i? Teraz kod jest ok więc może oświecisz co nie działa.

Jak podam błędny login i hasło to wyrzuci Exception("error") ale jak podam poprawny login i dowolne hasło to loguje.

Tą część źle wykonuje. Echa nie pokazuje.

[PHP] pobierz, plaintext 
 
        if($query->rowCount() > 0){
 
 
			if(password_verify($this->password , $wynik['password'])){
 
				echo "Password Valid!";
 
				}else{
				    echo "Password invalid!";
				}
        }else{
            throw new Exception("Login lub hasło są niepoprawne");
        }
 
[PHP] pobierz, plaintext 

To może pokaż cały kod a nie tylko urywek. Bo na razie pokazałeś 2 kawałki kodu które nie są ze sobą zbieżne.

[PHP] pobierz, plaintext 
class Login {
 
    private $username;
    private $password;
	private $con;
 
    function __construct($username, $password) {
 
        $this->setData($username, $password);
        $this->connectToDb();
        $this->getData();
    }
 
    private function setData($username, $password) {
        $this->username = $username;
        $this->password = $password;
    }
 
    private function connectToDb(){
 
 		include 'Database.php';
 
		$this->con = new Database();
 
    }
 
 
 
    function getData(){
 
		try{
 
			$query = $this->con->prepare("SELECT * FROM users WHERE username = :username");
 
			$query->execute(array(':username'=>$this->username));
 
			$wynik = $query->fetch(PDO::FETCH_ASSOC);
 
 
			//var_dump($wynik)
			//var_dump($this->password);
			//exit;
 
		}catch(Exception $exc){
 
			echo $exc->getTraceAsString();
		}
 
 
 
        if($query->rowCount() > 0){
 
 
			if(password_verify($this->password , $wynik['password'])){
 
				echo "Password Valid!";
 
				}else{
				    echo "Password invalid!";
				}
        }else{
            throw new Exception("Login lub hasło są niepoprawne");
        }
 
    }
 
    function close(){
        $this->con->close();
    }
 
}
 
[PHP] pobierz, plaintext 

a w kontrolerze tworze obiekt.

[PHP] pobierz, plaintext 
        try{
            $login = new Login($username, $password);
 
            if($login == TRUE){
 
                session_start();
                $_SESSION['username'] = $username;
 
            }else{
            	 $_SESSION['username'] = false;
				 session_regenerate_id();
            }
 
        }catch (Exception $exc){
 
            echo $exc->getMessage();
        }
 
[PHP] pobierz, plaintext 

chodzi o to że loguje mnie z dowolnym hasłem.

przy rejestracji mam:

[PHP] pobierz, plaintext 
    function rgisterUser(){
 
		$sql = "INSERT INTO users (username, password, email) VALUES (:username,:password,:email)";
 
		try{
 
			$new_password = password_hash($this->password, PASSWORD_BCRYPT);
 
			$query = $this->con->pdo->prepare($sql);
 
			$query->bindparam(":username", $this->username);
            $query->bindparam(":email", $this->email);
            $query->bindparam(":password", $new_password);            
            $query->execute(); 
 
 
		}catch(Exception $exc){
 
			echo $exc->getTraceAsString();
		}
 
 
    }
[PHP] pobierz, plaintext 

Ps. to pilotażowy projekt do nauki PDO, niekomercyjny

No i jakim cudem ma ci bronic dostepu w przypadku zlego hasla jak jedyne co robisz to wyswietlasz echo ze zle haslo...

Rownie dobrze mozesz zrobic zabezpiecznie antywlamaniowe:
zostaw otwarte drzwi i na kartce tylko napisz: "prosze, nie okradajcie mnie".

Podobny poziom zabezpieczenia co masz teraz w kodzie

Loguje bo dowolny utworzony obiekt zawsze będzie == true.

To co musisz zrobić to w metodzie getData() ustawić jakieś property np. private $logged = ...
do tego jakaś metoda typu isLogged() która zwróci wartość tego property
a na końcu tam gdzie masz swój warunek $login == true zamienić na coś typu if($login->isLogged())