В чем проблема, е могу понять (Шифрование по MD5)?

Question

Galdar Turin @Galdar

Web, JS, PHP, NGINX, Linux

PHP

В чем проблема, е могу понять (Шифрование по MD5)?

Есть скрипт регистрации и скрипт авторизации. И там и там хеширует пароль, только вот в регистрации хеш по одному, а в авторизации по другому. Как так происходит??

Регистрация

if($checkEmail == true && $checkLogin == true && $checkPassword == true && $checkName == true  && $roleWeb != 'default') {
        $result::connectTables("INSERT INTO "._TABLE_STAFF_."(email, name, login, pass, roleweb, name_role, date_regist) 
            VALUES (
            '".$email."',
            '".$name."',
            '".$login."',
            MD5('".$password._GARBAGEKEY_."'),
            '".$roleWeb."',
            '".$nameRole."',
            '".$datelocal."'
            )");
        echo "<h6>Сотрудник добавлен!</h6>";
        $result::MySQLClose();
    }

Авторизация

<?

if($outAccount != 1){
    require_once'_mysql.php';
    $result = new baseConnect();
    $email = $_POST['email'];
    $pass = $_POST['pass'];
    $datelocal = date('Y-m-d h:i:s');
    $checkPassword = false;

    if(strlen($pass) != 0){
        // Проверка пароля
        if(preg_match( '/^\S*(?=\S{12,25})(?=\S*[a-z])(?=\S*[A-Z])(?=\S*[\d])\S*$/i',$pass)){
            $checkPassword = true;
            $password = MD5($pass._GARBAGEKEY_);
        }else{
            $error2 = "<p>Пароль не соответствует требованиям. Пожалуйста исправьте!</p>";
        }
    }else{$error1 = "<p>Поле с Паролем пустое.</p>";}

    echo $email." ".$password;

    if($checkPassword == true){
        $res = $result::connectTables("SELECT email, pass FROM "._TABLE_STAFF_);
        while( $e = mysqli_fetch_assoc($res) ) {
            if($e['email'] == $email && $e['pass'] == $password){

                $result::connectTables("INSERT INTO "._TABLE_STAFF_."(date_input) VALUES ('".$datelocal."')");
                $result::MySQLClose();
                $_SESSION['email'] = $email;
                $_SESSION['pass'] = $password;
            }
        }
    }
}else{
    session_start();
    session_unset();
    session_destroy();
    $outAccount = 0;
}


?>

В конце добавляет от 2-х до 3-х символов. (Р2c925b19e4ec95e3fa05c42efd26a6200c - допустим это генерация пароля при регистрации, а это при авторизации Р2c925b19e4ec95e3fa05c42efd26a6200cf10 - в конце добавляет постоянно какие-то символы, откуда они я недоумеваю... ) при вводе пробелов точно нет

Вопрос задан более трёх лет назад
119 просмотров

1 комментарий

Подписаться 1 Простой 1 комментарий

Решения вопроса 1

2 комментария

Пригласить эксперта

Ответы на вопрос 3

12 комментариев

synapse_people @synapse_people

не дай Бог вообще такой код поддерживать

Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса

Благодарю, я учусь, не стоит ругаться на то что просто я не знал. Возьму на заметку! Если есть ещё советы напишите, буду благодарен!

Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса

Да задано поле 'pass' не вижу тут ничего странного...

Написано более трёх лет назад
Rsa97 @Rsa97

Galdar Turin, Вопрос не в том, что оно задано, а как именно оно задано. Какой задан тип поля в базе данных?

Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса

Rsa97, varchar 255, проблема была в длине поля! Но повторяюсь, если вам есть что посоветовать по поводу авторизации, регистрации, проверок, работы с БД, буду рад услышать и поучится!

Написано более трёх лет назад

Galdar Turin @Galdar Автор вопроса

Rsa97,
Подскажите что я могу тут делать не правильно?
Если я оставляю пустое поле с паролем то хеш проверяется, если пишу пароль то не совпадает

session_start();
if(isset($_POST['outAccount']))
    $outAccount = $_POST['outAccount'];
    
if($outAccount != 1){

    require_once'_mysql.php';
    $result = new baseConnect();
    $email = $_POST['email'];
    $userPass = $_POST['pass'];
    $datelocal = date('Y-m-d h:i:s');
    echo "Вводимый пароль: ".$userPass."<br>";


    $checkEmail_aut = $result::connectTables("SELECT `pass` FROM `"._TABLE_STAFF_."` WHERE `email` LIKE '".$email."'");
    $passBD = mysqli_fetch_assoc($checkEmail_aut);
    
    if(isset($passBD['pass'])){
        echo "Вывод из БД: ".$passBD['pass']."<br>";
        if(password_verify($userPass._GARBAGEKEY_, $passBD['pass'])){ // тут не сравнивает хеш
            echo "Сравнение хеш: "."<br>".$passBD['pass']."<br>".password_verify($userPass._GARBAGEKEY_, $passBD['pass'])."<br>";
            $result::connectTables("UPDATE "._TABLE_STAFF_." SET date_input = '".$datelocal."' WHERE email = '".$email."'");

            $_SESSION['email'] = $email;
            $_SESSION['password'] = $passBD['pass'];
            $result::MySQLClose();
        }
    }

}else{
    session_unset();
    session_destroy();
    $outAccount = 0;
    $out = json_encode(array(
        outAccount => $outAccount
    ));
    echo $out;
}

Написано более трёх лет назад

Rsa97 @Rsa97
Galdar Turin, Для начала, "солить" пароль для функций password_hash и password_verify не надо, они с этим и сами прекрасно справляются.
При установке пароля делаете
$hash = password_hash($password, PASSWORD_DEFAULT);
и записываете хэш в базу.
При проверке получаете хэш из базы, и проверяете
if (password_verify($password, $hash)) { ... }
Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса
Rsa97, Так и сделал, очень странная странность)) Получается у меня после авторизации переходит в корневой файл.
форма
... <form class="md-float-material" method="post" action="index.php"> ...
и вот тут происходит непонятка, если я удалю action="index.php" сохраню после его добавлю туда же заходит. Возможно с реализацией выхода что-то не то?
выход
}else{ ... session_unset(); session_destroy(); // вывод в ajax js $outAccount = 0; $out = json_encode(array( outAccount => $outAccount )); echo $out; }
Написано более трёх лет назад
Rsa97 @Rsa97

Galdar Turin, Судя по коду, у вас вызывается index.php и, если пароль не совпал, то возвращается только строчка "Вывод из БД: ..."

Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса

Rsa97, насколько практично и вообще можно ли так реализовывать. Отправить данные с формы при помощи js ajax в скрипт php получив разрешения на вход от скрипта php через js перекинуть на нужную страницу

Написано более трёх лет назад
Rsa97 @Rsa97

Galdar Turin, Если всё равно перекидывать на другую страницу, то можно и без AJAX.
Но можно и с AJAX, как вам удобнее.

Написано более трёх лет назад
Galdar Turin @Galdar Автор вопроса

Rsa97, спасибо! Советы помогли да же облегчили в какой-то степени работу. Огромное человеческое спасибо! По поводу action="index.php" я до этого намудрил и не исправил, по этому были траблы с переходом!

Написано более трёх лет назад

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

Простой
Как лучше взять данные из большого файла по ключу не перебирая строки?
- 1 подписчик
- 54 минуты назад
- 29 просмотров
2

ответа
JavaScript

+3 ещё

Простой
Почему приходят пустые данные с формы на почту?
- 1 подписчик
- 2 часа назад
- 38 просмотров
1

ответ
PHP

Простой
Каким образом формируются имена файлов из набора букв и цифр?
- 1 подписчик
- 11 часов назад
- 82 просмотра
2

ответа
PHP

Простой
Почему не применяются настройки xdebug.ini после изменения?
- 1 подписчик
- 22 часа назад
- 36 просмотров
1

ответ
PHP

+1 ещё

Простой
Как получить публичную ссылку на изображение с чата Телеграм?
- 1 подписчик
- 23 часа назад
- 67 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему перестали отображаться новости на детальной странице новостей?
- 1 подписчик
- вчера
- 60 просмотров
1

ответ
PHP

Простой
Почему ломается передача по ссылке в foreach с указанием оператора опциональной последовательности для массива?
- 1 подписчик
- вчера
- 64 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему ошибка 502 после миграции с PHP 8.2 на PHP 8.3?
- 1 подписчик
- вчера
- 118 просмотров
2

ответа
PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- вчера
- 52 просмотра
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- вчера
- 220 просмотров
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Разработка overlay-приложения для Android

26 апр. 2024, в 12:40

150000 руб./за проект

Небольшое приложение реакт. Корзина для интернет магазина

26 апр. 2024, в 12:34

5000 руб./за проект

Разработка AR приложения для наложения ресниц (прикреплено ТЗ)

26 апр. 2024, в 12:28

1500 руб./в час

Одинаково. Просто в регистрации хеширует в SQL-запросе, а в авторизации в PHP коде.

Answer 1 · 2019-04-24 08:49:38

Lander @usdglander Куратор тега PHP

Yipee-ki-yay

У вас, похоже, ограничена длинна поля в БД. Вот весь хэш и не влезает.

Ответ написан более трёх лет назад

2 комментария

Answer 2 · 2019-04-24 08:50:53

Не используйте самописные методы. Давно уже есть password_hash() и password_verify().
А вообще, вытягивать всех пользователей из таблицы - это, мягко говоря, выглядит странно. Достаточно запросить пользователя с указанным логином и, если таковой найдётся, проверить его пароль.
И как у вас в базе задано поле `pass`?

Answer 3 · 2019-04-24 08:48:51

irishmann @irishmann

Научись пользоваться дебаггером

В одном случае MD5 делает MySQLi, во втором PHP

Ответ написан более трёх лет назад

1 комментарий

Answer 4 · 2019-04-24 08:52:02

Так как md5 легко ломается. Дополнительные символы в конце пароля это скорее всего соль для затруднения взлома. Там даже указано _GARBAGEKEY_.

В чем проблема, е могу понять (Шифрование по MD5)?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт