PHP - Login attraverso hash

02/04/17 13:37

Postato originariamente da domenico_rizzo:
mi sono semplicemente limitato a mettere nel database la password criptata di ciao (che e' y$ups9TIcPNYw5ZKXxePkgtu2edYeYo3p2fwvu4zilYUdEqqDkUt9vG)

Evidentemente no...

<?php 
var_dump( password_verify("ciao", 'y$ups9TIcPNYw5ZKXxePkgtu2edYeYo3p2fwvu4zilYUdEqqDkUt9vG'));
?>

bool(false)

A giudicare dal formato dell'hash, sono convinto che l'hai generato in maniera sbagliata. Dovrebbero esserci piu' caratteri '$' nell'hash... nel tuo ne vedo solo uno.

<?php
for ($i = 0; $i < 10; $i++){
	echo password_hash("ciao", PASSWORD_DEFAULT) . "<br/>";
}
?>

y$PksV0E6HJSQYuheyJDVYW.bb1LBh1KzynAspPY.yC3XTJ6c83mjmW
ye6nxEaE2J6EGEjjGkMB.dORM7mXf9Xe/hhxPADjCQSCuV/XjRo.
yisp/v.ZtlzSKF20V1Hjg.JsQu72Uszllz9w8gA3zHujOIHJqrmAK
y$IKPC1xDNeSQy52FC67J7XO.hU/ssVH66Uljv90gGHJ6DQbgdu64hW
y$Kky8CZihitXEO6ZwBSSJU.fJf4cVd40o4RJ0FLxWFzMar8vZ/MADa
y$b4TChKCC/kFZeE8prN.bJusbhQ/nmX9LHsfP1QmLvjwb6JJMne40G
y$AplwG.zO4mZgSLuLkOktDOnTdqjfLPiHlex4GRX1vgKX9GANDQqRS
y$T5NV/Pw9Cjcf97stb9n/xelSOVXCvpZDzcVc7hUtBgZ/JX/2PThxq
y$f9HB0H5M216sYbAflWHpvOVs3z0EgT/TqoX3pltcM1gTx5UlRwz46
y$Nvwc15tYLSyLhmZKMWnKbO4jAAfOiANoB5LXi9nyKza/QEOHXMGb.

Il mio blog: piero.dev

02/04/17 13:46

pierotofy

Hai probabilmente fatto una query del genere:

$hash = "y$PksV0E6HJSQYuheyJDVYW.bb1LBh1KzynAspPY.yC3XTJ6c83mjmW";
$sql = "INSERT INTO .... = '$hash'";
echo $sql;

INSERT INTO .... = 'y.bb1LBh1KzynAspPY.yC3XTJ6c83mjmW'

Uups! L'hash viene troncato.

Questo perche' PHP interpreta i caratteri $ come variabili e se usi i doppi apici ("

invece che i singoli ('), le variabili verranno sostituite. C'e' pure un commento nella pagina php.net/manual/en/… sotto "User Contributed Notes" dove questo problema viene messo in rilevanza.

E' una di quelle funzionalita' dove bisogna stare attenti in PHP.

Ultima modifica effettuata da pierotofy 02/04/17 13:46

Il mio blog: piero.dev

19/04/17 12:10