Искажается хеш из MySQL при проверке пароля — как поправить?

Question

0ldn0mad @0ldn0mad

PHP
MySQL

Искажается хеш из MySQL при проверке пароля — как поправить?

При регистрации пароль хешируется и отправляется в базу. В базе хэши хранятся в поле VARCHAR - длиной 128, кодировка базы - utf8_general_ci.
При проверке пароля достаю из базы хэш и проверяю его с введённым паролем - password_verify
Вот скрипт проверки пароля:

$loadData = mysqli_query($conn, "SELECT * FROM reg WHERE email = '$formEmail'");
		$userData = mysqli_fetch_array($loadData);
		$passwd = trim($_POST['password']);
		$checkPasswd = password_verify($passwd, $userData["password"]);
		if ($checkPasswd == true){
			echo "Пароль верный!";
		}else{
			echo "Пароль НЕ ВЕРНЫЙ!!";
		}

Проверял тупо в сторонке:

$passwd = '123123';
$twoHash = '$2y$05$y9vdifo939stS5ybW5ZGceDBiQWH4sYvUfZtCukOidXszIyUL.SGy';
$check = password_verify($passwd, $twoHash);
var_dump(password_verify($passwd, '$2y$05$y9vdifo939stS5ybW5ZGceDBiQWH4sYvUfZtCukOidXszIyUL.SGy'));
var_dump(password_verify($passwd, password_hash($passwd, PASSWORD_DEFAULT, ['cost' => 5])));
if ($check == true){
	echo "Пароль верный!";
}else{
	echo "Пароль НЕ ВЕРНЫЙ!!";
}

Первый вардамп не проходит, во втором (где сам генерит и сам проверят ) - все нормально.
В переменную $twoHash хеш копипастил несколько раз - ошибиться не мог.
Делаю вывод, что хэш искажает или сама база MySQL или mysqli_fetch_array. Может, ошибаюсь.
Подскажите как решить проблему?

Вопрос задан более трёх лет назад
318 просмотров

19 комментариев

Подписаться 1 Простой 19 комментариев

FanatPHP @FanatPHP

А кто мешает проверить-то?
Ну если искажает то выведи да сравни с эталонным.

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

FanatPHP, По другому скажите. Ничего не понятно.

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad, да где то очипятка скорее всего
Лучше использовать mysqli_fetch_assoc
Гляньте что в массиве после фетча

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий, В чем? В 123123?

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad, да в имени поля например

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Но хеш то из базы я получаю! Иначе ошибка была бы!

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad,
Ещё вот момент
$checkPasswd == true
Надо ===

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий, пробовал =) не помогает

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP
0ldn0mad, этого вардамп
$userData = mysqli_fetch_array($loadData); $passwd = trim($_POST['password']);

Ну и проверьте имена полей формы
Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий,
$userData:
array (size=8)
0 => string '27' (length=2)
'id' => string '27' (length=2)
1 => string 'User' (length=4)
'name_reg' => string 'User' (length=4)
2 => string 'user@example.com' (length=16)
'email' => string 'user@example.com' (length=16)
3 => string '$2y$05$eiGWv2uiguVDTiB4Iahih.iu0CGDvB4hxi88BHHTZ0hUYVf4S2.IO' (length=60)
'password' => string '$2y$05$eiGWv2uiguVDTiB4Iahih.iu0CGDvB4hxi88BHHTZ0hUYVf4S2.IO' (length=60)

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий,
$passwd
/WebServ/localhost/ext/proc_log.php:22:string '123123' (length=6)

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad, а $passwd
А лучше весь пост вардампнуть

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий,

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий,
Проверка $checkPasswd:
/WebServ/localhost/ext/proc_log.php:24:boolean false

Что еще проверить?

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad, читали что пишут?
https://www.php.net/manual/ru/function.password-ve...

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий, А что я сделал не так? Ни так как там написано?

Написано более трёх лет назад
Дмитрий @Compolomus Куратор тега PHP

0ldn0mad, там ниже коментарии
Можете в переводчик загнать

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Дмитрий, Скажите предметно, что я должен увидеть, что мне помогло бы решить проблему?

Написано более трёх лет назад
Антон @Eridani
0ldn0mad, попробуйте varchar до 255 поднять.
У меня хэш 123123 получился иной
$2y$05$/bZxw.NNoyYVbL/pDUW.VOqXedErrioWpfDEFdWy5hsHdZhrPrstG

И все прекрасно работает, оба дампа
Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

2 комментария

7 комментариев

0ldn0mad @0ldn0mad Автор вопроса

А почему нет? Что мешает этому?
Менял на TEXT - проблему не решило

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Хм, а что, есть специальные какие-то типы для хранения хешей? Для некоторых типов енкрипта нужно использовать бинарные поля, для хеша же всегда достаточно варчар, причем вполне хватает аскии латин.

Написано более трёх лет назад
Иван Мельников @immelnikoff

ThunderCat, например, имеем дело с MD5 – 128-битным хэш-алгоритмом.
Если мы будем хранить MD5-сумму в VARCHAR (кстати, если уж на то пошло, то почему не CHAR(32) ?), то нам потребуется 32 шестнадцатеричные цифры (каждый байт представляется двумя шестнадцатеричными цифрами), то есть 32 байта.
Если мы будем хранить MD5-сумму в BINARY(16), то нам потребуется 16 байт.
Мало того, что в случае с BINARY(16) достигается выигрыш по памяти более, чем в 2 раза в сравнении с VARCHAR и ровно в 2 раза в сравнении с CHAR(32), так ещё и бонусом будут возросшая скорость поиска/сортировки и меньшая нагрузка на подсистему хранения.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Иван Мельников, для начала - MD5 как бы уже не пользуется, а алгоритмы в дальнейшем могут поменяться. Не суть что в сторону увеличения, как и не особо важно как хранить, но иногда надо посмотреть как представлена строка нужно. В бинари это гемор, в варчар легко.

Написано более трёх лет назад
Иван Мельников @immelnikoff

ThunderCat, кто вам сказал, что MD5 не используется? Для контроля целостности данных и в качестве первичного ключа MD5 используется и будет использоваться ещё очень долго. Но суть даже не в этом. Замените MD5, например, на SHA-512 и смысл останется тем же.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

Иван Мельников, Ответ был в контексте вопроса, не надо передергивать, естественно речь идет о паролях.

Написано более трёх лет назад
Иван Мельников @immelnikoff

ThunderCat,
Но суть даже не в этом. Замените MD5, например, на SHA-512 и смысл останется тем же.

Написано более трёх лет назад

13 комментариев

0ldn0mad @0ldn0mad Автор вопроса

Мешает то, что хеши создаются рандомно. Для одного пароля будете создавать 1000 хешей и каждый из 1000 будет уникальным.

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

0ldn0mad, Вообще смысл был в том, что алгоритм создания вашего пароля содержит(?) дополнительную "соль" или вы используете явное задание соли при генерации пароля. Смотрите метод создания пользователя, место где вы используете password_hash();

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

Соль - это остатки эксперимента. Все было без явно заданой соли:
$hash = password_hash($_POST['password'], PASSWORD_DEFAULT);
$query = "INSERT INTO reg (name_reg, email, password) VALUES ('$name_reg', '$email', '$hash')";

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

0ldn0mad, во первых - пихать необработанные $_POST/$_GET в какие-либо значимые функции нельзя. Как минимум - trim(), проверка на максимальную длинну и непустоту.
Во вторых - с константной солью у вас будет 1 результат, а не тысяча.
В третьих - убедитесь что все соответствует - захешируйте, сохраните в бд, прочитайте, проверьте. Вот и поймете - в бд проблема или в чем то в коде.
В четвертых - рекомендуемая длинна поля хеша - 255 символов.

Написано более трёх лет назад
FanatPHP @FanatPHP

60

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

FanatPHP,
https://www.php.net/manual/ru/function.password-ha...
/**
* Мы просто хотим захешировать свой пароль используя настройки по умолчанию.
* Значит будет использован BCRYPT и результат будет 60 символов длиной.
*
* Помните, что алгоритм по умолчанию может измениться в будущем, так что
* имеет смысл заранее позаботиться о том, чтобы система хранения хешей
* смогла хранить более 60 символов (255 в самый раз)
*/
я не сказал "не хватает", я сказал "рекомендуется"

Написано более трёх лет назад

0ldn0mad @0ldn0mad Автор вопроса

ThunderCat,
Вот отправляем хеш в базу:

$passHash = trim($_POST['password']);
$hash = password_hash($passHash, PASSWORD_DEFAULT, ['cost' => 5]);
$query = "INSERT INTO reg (name_reg, email, password) VALUES ('$name_reg', '$email', '$hash')";

Вот делаем проверку:

$loadData = mysqli_query($conn, "SELECT * FROM reg WHERE email = '$formEmail'");
$userData = mysqli_fetch_array($loadData);
$passwd = trim($_POST['password']);
var_dump($userData);
$checkPasswd = password_verify($passwd, $userData["password"]);
	if ($checkPasswd === true){
		echo "Пароль верный!";
	}else{
		echo "Пароль НЕ ВЕРНЫЙ!!";
	}

Да, хеши зрительно одинаковые, но php убежден что разные......

Написано более трёх лет назад

ThunderCat @ThunderCat Куратор тега PHP
0ldn0mad, значит разные, осталось только сравнить бинарное представление:
$bin = unpack('H*', '$2y$05$y9vdifo939stS5ybW5ZGceDBiQWH4sYvUfZtCukOidXszIyUL.SGy'); var_dump($bin);

Ну и то же самое с оригинальной строкой из функции и сравнить.
Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса
ThunderCat, А так одинаковые. Взял первый хеш из базы копипастом, второй то, что выдал вардамп по запросу из базы.
Получилось вот так:
$bin = unpack('H*', '$2y$05$iR/d0.Xd0bGVfgbkgSkkIeEscb.g2MpNyKVX2OYwpBVva4Quc5bA6'); var_dump($bin); $bin2 = unpack('H*', '$2y$05$iR/d0.Xd0bGVfgbkgSkkIeEscb.g2MpNyKVX2OYwpBVva4Quc5bA6'); var_dump($bin2); if ($bin == $bin2) echo "РАВНО"; else echo "НЕ РАВНО";

Вывод:
/WebServ/localhost/test.php:33:
array (size=1)
1 => string '2432792430352469522f64302e5864306247566667626b67536b6b4965457363622e67324d704e794b5658324f597770425676613451756335624136' (length=120)
/WebServ/localhost/test.php:38:
array (size=1)
1 => string '2432792430352469522f64302e5864306247566667626b67536b6b4965457363622e67324d704e794b5658324f597770425676613451756335624136' (length=120)
РАВНО
Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

0ldn0mad, вы вроде не совсем то сравниваете...
В третьих - убедитесь что все соответствует - захешируйте, сохраните в бд, прочитайте, проверьте. Вот и поймете - в бд проблема или в чем то в коде.

Написано более трёх лет назад
0ldn0mad @0ldn0mad Автор вопроса

ThunderCat, Я не понимаю что нужно. Сформулируйте, пожалуйста, предложение по другому.
P.S. хеширование в базу и чтение из базы я уже 100500 раз сделал - в этом и проблема - то что достали из базы не соответствует тому что проверяется в password_verify

Написано более трёх лет назад
ThunderCat @ThunderCat Куратор тега PHP

0ldn0mad, FanatPHP вам уже достаточно четко расписал и как проверить, и какие ошибки при этом у вас вылезут. Код он привел условный, не ориентируясь на вашу поделку, что легко можно поправить (если не тупить). То есть ровно то, что я выше написал:
генерируем хеш (делаем вар_дамп)
пишем его в базу
читаем из базы(делаем вар_дамп и, скорее всего, охреневаем)
сравниваем.
Много думаем

Написано более трёх лет назад
AUser0 @AUser0
Или в исходниках пишем
error_log("Passwd1: ".$passwd); error_log("Passwd2: ".$userData["password"]);
(это что-бы посетителям ничего не светить), и смотрим в error.log web-сервера сообщения про пароли, сравниваем значения, задумываемся...

А VARCHAR() лучше поменять на CHAR(), из-за скорости.
Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему клиент телеграма отсылает битый запрос?
- 1 подписчик
- 12 часов назад
- 72 просмотра
0

ответов
PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- 12 часов назад
- 29 просмотров
1

ответ
MySQL

+1 ещё

Средний
Как восстановить базу данных mysql, если служба mysql не запускается на windows?
- 1 подписчик
- 14 часов назад
- 55 просмотров
1

ответ
JavaScript

+3 ещё

Простой
Как стилизовать пагинацию постов по определённому признаку?
- 1 подписчик
- 17 часов назад
- 66 просмотров
1

ответ
WordPress

+1 ещё

Простой
Как импортировать большую базу данных в Wordpress?
- 1 подписчик
- 23 часа назад
- 53 просмотра
2

ответа
PHP

+1 ещё

Простой
Парсинг XML yandex?
- 1 подписчик
- вчера
- 85 просмотров
0

ответов
PHP

Простой
Заполнить не существующими датами из бд в графике apexcharts?
- 1 подписчик
- вчера
- 56 просмотров
2

ответа
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- вчера
- 134 просмотра
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- вчера
- 80 просмотров
0

ответов
PHP

Простой
Функция str_replace() не работает?
- 1 подписчик
- вчера
- 179 просмотров
3

ответа
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

Нужен директолог с опытом работы

19 апр. 2024, в 10:02

6000 руб./за проект

Помощь с парсингом XML файла яндекс товаров

19 апр. 2024, в 09:46

500 руб./за проект

Обработать массив фотографий

19 апр. 2024, в 08:46

5000 руб./за проект

А кто мешает проверить-то?
Ну если искажает то выведи да сравни с эталонным.
FanatPHP, По другому скажите. Ничего не понятно.
0ldn0mad, да где то очипятка скорее всего
Лучше использовать mysqli_fetch_assoc
Гляньте что в массиве после фетча
Но хеш то из базы я получаю! Иначе ошибка была бы!
0ldn0mad,
Ещё вот момент
$checkPasswd == true
Надо ===
0ldn0mad, этого вардамп
$userData = mysqli_fetch_array($loadData); $passwd = trim($_POST['password']);

Ну и проверьте имена полей формы
Дмитрий,
$userData:
array (size=8)
0 => string '27' (length=2)
'id' => string '27' (length=2)
1 => string 'User' (length=4)
'name_reg' => string 'User' (length=4)
2 => string 'user@example.com' (length=16)
'email' => string 'user@example.com' (length=16)
3 => string '$2y$05$eiGWv2uiguVDTiB4Iahih.iu0CGDvB4hxi88BHHTZ0hUYVf4S2.IO' (length=60)
'password' => string '$2y$05$eiGWv2uiguVDTiB4Iahih.iu0CGDvB4hxi88BHHTZ0hUYVf4S2.IO' (length=60)
Дмитрий,
$passwd
/WebServ/localhost/ext/proc_log.php:22:string '123123' (length=6)
0ldn0mad, а $passwd
А лучше весь пост вардампнуть
Дмитрий,
Проверка $checkPasswd:
/WebServ/localhost/ext/proc_log.php:24:boolean false

Что еще проверить?
0ldn0mad, читали что пишут?
https://www.php.net/manual/ru/function.password-ve...
Дмитрий, А что я сделал не так? Ни так как там написано?
0ldn0mad, там ниже коментарии
Можете в переводчик загнать
Дмитрий, Скажите предметно, что я должен увидеть, что мне помогло бы решить проблему?
0ldn0mad, попробуйте varchar до 255 поднять.
У меня хэш 123123 получился иной
$2y$05$/bZxw.NNoyYVbL/pDUW.VOqXedErrioWpfDEFdWy5hsHdZhrPrstG

И все прекрасно работает, оба дампа

Answer 1 · 2019-10-17 11:09:22

Показываю на пальцах, как отлаживать свой кривой код

$passwd = '123123';
$email = "test@test.test";
$hash = password_hash($passwd, PASSWORD_DEFAULT);
$stmt =$conn->prepare("INSERT INTO reg SET email = ?, password=?, name_reg=''");
$stmt->bind_param("ss", $email, $hash,);
$stmt->execute();
$id = $conn->insert_id;

$stmt =$conn->prepare("SELECT * FROM reg WHERE id=?");
$stmt->bind_param("s", $id);
$stmt->execute();
$result = $stmt->get_result();
$userData = $result->fetch_assoc();

$checkPasswd = password_verify($hash, $userData["password"]);
var_dump($hash, $userData["password"],$passwd === $userData["password"],$checkPasswd);

Запустить этот код и убедиться, что на удивление, База данных ничего с твоими данными не делает, возвращает в точности то же самое что клал (ну или, как вариант, с удивлением обнаружить что длина поля совсем не 128 букв например).

После этого начать разбираться с менее фантастическими вариантами. Например, что в БД "после экспериментов" лежит куча записей с оинаковыми емейлами и разными паролями. Или какая-то другая проблема столь же интеллектуального свойства.

Если $hash, $userData["password"] выглядят одинаково, но $passwd === $userData["password"] возвращает false, то выводим $hash, $userData["password"] через urlencode() и смотрим разницу.

Основная идея тут в том, чтобы проверять каждое свое предположение. Причем не методом высасывания из пальца, а самым что ни на есть наглядным способом. То есть проверять ровно то, что клал в конкретную таблицу БД, а не то что когда-то давно куда-то клал, но куда и когда не помню.

Answer 2 · 2019-10-17 09:11:52

В базе хеши хранятся в поле VARCHAR - длинной 128, кодировка базы - utf8_general_ci

Я, конечно, извиняюсь, но кто придумал хранить хэш-суммы в поле типа VARCHAR?

Answer 3 · 2019-10-17 09:33:43

Первый вардамп не проходит, во втором (где сам генерит и сам проверят ) - все нормально.

Соль?

Что мешает вывести во втором варианте дамп полученного хеша и посмотреть чем отличается от того что лежит в мускуле?

Искажается хеш из MySQL при проверке пароля — как поправить?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт