Итак, I'me кодирует простую систему входа с php.проблема с PHP password_verify
вот код регистрации:
if ($hash == $hash2) {
$pass = password_hash($hash, PASSWORD_BCRYPT);
} else {
$message = "As password não são iguais.\\nTenta de novo.";
echo "<script type='text/javascript'>alert('$message');</script>";
echo "<script type='text/javascript'>window.location = '../registo.php';</script>";
echo "</script>";
}
$sql = "INSERT INTO user (hash) VALUES ('$pass')";
форма для журнала в:
<form class="form" id="formLogin" style="color:#ffffff" action="stuff/login.php" method="post">
password:
<input name="password" id="password" type="password" placeholder="" style="background-color: #ffffff; color:#111111;" ><br>
<br>
<button type="submit" name="submit" id="btnLogin" style="padding-top: 5%; padding-bottom: 5%; color:#ffffff" class="btn btn-default outline center-block">Login</button>
</form>
Мой login.php (для упрощения я использую фиксированный идентификатор базы данных в запросе и только поле пароля)
require_once("db.php");
require("password.php");
if (!empty($_POST['password'])) {
$pass = htmlspecialchars($_POST['password']);
$id = 1;
$sql = "SELECT * FROM user WHERE id ='$id'";
$res = mysqli_query($conn, $sql);
$row = mysqli_fetch_assoc($res);
$numRows = mysqli_num_rows($res);
$h = $row['hash'];
if($numRows == 1) {
if(password_verify($pass, $h)) {
header("Location: ../backoffice.php");
} else {
$message = $pass . " " . $h;
echo "<script type='text/javascript'>alert('$message');</script>";
echo "</script>";
}
} else {
$message = "a palavra-passe e/ou nome de utilizador est\343o errados.\\nTenta de novo.";
echo "<script type='text/javascript'>alert('$message');";
echo "window.location = '../index.php';";
echo "</script>";
}
};
Когда я эхо $ сообщение в еще части password_verify, если, к Displ как пароль ввода, так и хэш-код базы данных, они выглядят нормально - правильный результат строки из формы журнала и правильный хэш, хранящийся в базе данных. Но все же это не работает. Какие-либо предложения?
'$ pass = htmlspecialchars ($ _ POST ['password']);' Почему? –
@MarkBaker задавался вопросом то же самое, может быть, попробуйте filter_input() вместо этого? –
Не нужно ничего менять в пароле вообще, любая форма фильтрации или манипуляции фактически уменьшает энтропию пароля –