質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • PHP

    21402questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    6204questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

password_verifyがfalseになる。

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 250

atsupoooon

score 31

PHP:5.6
ログイン機能を実装しているのですが、password_verifyがfalseになって認証が通らない原因がわかりません。

Mysql側には、ハッシュ化されたパスワードを保存しているのですが。。
ハッシュは、password_hashで実装。

2.3で必要な情報は取得できているのですが、password_verifyだけがfalseになります。

password_verifyで認証が通らない原因わかりますでしょうか。
お教え頂ければと思います。

<?
// 定義ファイル
include_once 'common/config.php';
// データベース接続ファイル
include_once 'common/dbconnect.php';
;?>
<?php
//クラスの生成
$pdo = new connect();

if(isset($_POST['login'])){

  // 変数
  $username = $_POST['username'];
  $password = $_POST['password'];

  // 1. ユーザIDの入力チェック
  if(empty($username)){
    echo "ユーザー名が入力されておりません。";
  } else if(empty($password)){
    echo "パスワードが入力されておりません。";
  }

  // 2.入力されてたら入力されていたら認証を開始
  if(!empty($username) && !empty($password)){

    //追記わかりやすいように変更
    $sql = "SELECT username,password FROM users WHERE username = '$username' ";
    $result = $pdo->select($sql);
  
    //追記
    var_dump($result);

    // 3.パスワード(暗号化済み)とユーザー名の取り出し
    foreach ($result as $row) {
      $row['username'];
      $hash_pass = $row['password'];

      //追記
      var_dump($result[0]);
    }

    // $password = "3333";
    // $hash = password_hash($password, PASSWORD_DEFAULT);
    // echo $hash;
    var_dump(password_verify($password, $hash_pass));

    // ハッシュ化されたパスワードがマッチするかどうかを確認
    if (password_verify($password, $row['password'])) {
      session_regenerate_id(true);
      $_SESSION['NAME'] = $username;
      header("Location: mypage.php");
      exit;
    } else {
      // 認証失敗
      echo "ユーザ名またはパスワードが間違っております。";
    }
  }
}
;?>
<!DOCTYPE html>
<head>
  <title>LESSON</title>
</head>
<header>
  <body>
    <div class="container">
      <h1 class="h_logo"><a href="index.php">LOGO</a></h1>
      <div class="h_nav">
        <ul class="clearfix">
          <li><a href="">TOP</a></li>
        </ul>
      </div>
    </div>
  </header>

  <div class="container">
    <h2>ログイン</h2>
    <form method="post">
      <p>ユーザ名:<input type="text" name="username" value=""></p>
      <p>パスワード:<input type="password" name="password" value=""></p>
      <button type="submit" name="login">ログイン</button>
    </form>
  </div>


  <?php
  include_once 'footer.php';
  ?>
<?
// エラー設定
ini_set( 'display_errors', 1 );

// セッションの開始
session_start();

class connect {
  //定数の宣言
  const DB_NAME='';
  const HOST='';
  const UTF='';
  const USER='';
  const PASS='';
  //データベースに接続する関数
  function pdo(){
    $dsn="mysql:dbname=".self::DB_NAME.";host=".self::HOST.";charset=".self::UTF;
    $user=self::USER;
    $pass=self::PASS;
    try{
      $pdo=new PDO($dsn,$user,$pass,array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES '.SELF::UTF));
    }catch(Exception $e){
      echo 'error' .$e->getMesseage;
      die();
    }
    //エラーを表示してくれる。
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);
    return $pdo;
  }
  //SELECT文のときに使用する関数。
  function select($sql){
    $data=$this->pdo();
    $stmt=$data->query($sql);
    $items=$stmt->fetchAll(PDO::FETCH_ASSOC);
    return $items;
  }
  //SELECT,INSERT,UPDATE,DELETE文の時に使用する関数。
  function plural($sql,$item){
    $data=$this->pdo();
    $stmt=$data->prepare($sql);
    $stmt->execute(array(':id'=>$item));
    return $stmt;
  }
}



;?>
$result
array(1) { [0]=> array(2) { ["username"]=> string(4) "5555" ["password"]=> string(60) "$2y$10$eHJnG0nuxKetZM9dV8NxNuUl2dz417DBtAdQuX29NNrYURpJa5Eoi" } } 

$result[0]
array(1) { [0]=> array(2) { ["username"]=> string(4) "5555" ["password"]=> string(60) "$2y$10$eHJnG0nuxKetZM9dV8NxNuUl2dz417DBtAdQuX29NNrYURpJa5Eoi" } } 
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • atsupoooon

    2018/04/30 18:53 編集

    var_dump(password_hash($password, PASSWORD_DEFAULT));
    var_dump($row['password']);
    上記で確認したところ、
    password_hash のstring(60) hash値
    $row['password'] のstring(60) hash値
    と言う形で返ってきましたが、password_hashの値はブラウザを更新する度に、値が変更されます。

    キャンセル

  • vapordog

    2018/04/30 20:24 編集

    すいません。今確認しましたが変わるんですね。確かめようがないのか。てことは、password_verifyを信じて、①パスワードが間違っている?②パスワードを保存した時のデータが間違っているですかね

    キャンセル

  • atsupoooon

    2018/04/30 20:41 編集

    そうなんです。。。ローカル環境でパスワードも1111などかなり簡易的なもので試してみましたが、ダメでした。insertする際に、不要な文字や数値などが入る場合ありますでしょうか。後ほどinsertする時の記述も追記致します。

    キャンセル

回答 1

checkベストアンサー

0

コードを絞って確認してみました。
DB から正しく値が取れていれば、結果には問題ないようです。

$result の中身が正しいか確認してください。

<?php
$username = 'username';
$password = 'hoge';
$result = [
   0 => [
        'username' => 'username',
        'password' => '$2y$10$BZmFUSp94Y0ZqKzRmuBwV.sKDtGlVD9kjX0f/FGn1griSgtiybqsi',
    ],
];

if (!empty($username) && !empty($password)) {
    foreach ($result as $row) {
        $hash_pass = $row['password'];
    }
    var_export(password_verify($password, $hash_pass));
    var_export($row['password']);

    if (password_verify($password, $row['password'])) {
        echo 'success';
    } else {
        echo "ユーザ名またはパスワードが間違っております。";
    }
}


このスクリプトはセキュリティ観点でに会員管理スクリプトとして使用してはダメです。

・dbconnect.php の作りがかなりおかしいです。
・構造的に SQL インジェクションの対策が取れません。
以下を参照しながら、設計し直してください。
PHPでデータベースに接続するときのまとめ

他に気になったのは
 if (password_verify($password, $row['password'])) {$row['password']$hash_passを使用してください。
foreach ($result as $row) {は結果を一行だけ取得し、$result[0]とすれば良いです。
・<!DOCTYPE html>の前にechoは無しです。

以下もあわせて読むと良いです。
$_GET, $_POSTなどを受け取る際の処理

追記
DB のデータの検証の方法

$password = 'hoge';
$result = [
   0 => [
        'username' => 'username',
        'password' => '$2y$10$BZmFUSp94Y0ZqKzRmuBwV.sKDtGlVD9kjX0f/FGn1griSgtiybqsi',
    ],
];


の箇所を

$password = 'パスワード';
$result = [
   0 => [
        'username' => 'username',
        'password' => '$2y$10$eHJnG0nuxKetZM9dV8NxNuUl2dz417DBtAdQuX29NNrYURpJa5Eoi',
    ],
];


とすることで、検証できます。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/04/30 21:34

    ご指摘ありがとうございます。
    いただきましたURLを参照して、勉強していきます。

    ありがとうございます。

    キャンセル

  • 2018/04/30 22:10

    先にちゃんと今回の件、原因を確認したほうが良いです。
    $result は、回答のサンプルのようになっていましたか?

    キャンセル

  • 2018/04/30 22:46 編集

    $resultの結果とSQLの部分ですが、確認するために質問文に追記しました。
    結果としては、取得したいDBのpasswordの値を取得できておりました。
    しかし、認証が通りません。。。

    一度、見て頂ければ幸いです。
    お願いいたします。

    キャンセル

  • 2018/04/30 23:04

    回答の値を変更することで、検証できます。
    $password と $result['password'] を変更してみてください。

    キャンセル

  • 2018/05/01 23:08

    $passwordは、入力された値の部分ですよね?
    $result['password']は、どこの記述のことでしょうか。
    $passwordを$result['password']に変更と言うことでしょうか。

    キャンセル

  • 2018/05/01 23:12

    回答に追記しました。

    キャンセル

  • 2018/05/01 23:49

    ありがとうございます。
    確認できました。
    $resultを固定の値で入れると認証が通りましたので、
    $resultの値がおかしいですね。

    キャンセル

  • 2018/05/01 23:54

    DBやクラスなど諸々設計の変更が必要になるみたいなので、
    一旦ゼロから作って行こうと思います。

    DBの設計・クラス化・セキュリティで参考になるサイトなどありますでしょうか。

    度々申し訳ございません。

    キャンセル

  • 2018/05/02 00:02

    基本的に、会員管理が必要となる場合は、フレームワークやライブラリ等を使用して、フルスクラッチで作成することはありません。

    学習用であれば、以下の記事がワリと丁寧に説明しています。
    https://qiita.com/ShibuyaKosuke/items/f114ffccf441edb2b745

    キャンセル

  • 2018/05/02 03:44

    ありがとうございます。
    やはりそうですよね。
    勉強をし直したいと思ってゼロから書いて行こうと思ってました。

    いろいろとお教えいただきありがとうございます。
    また、ご相談させていただくことがあればよろしくお願いいたします。

    キャンセル

同じタグがついた質問を見る

  • PHP

    21402questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    6204questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。