ログイン機能を実装したい

■やりたいこと
ログイン機能を実装したい
■問題点
データベースのidとパスワードがあっているはずなのにログインできない。

php
1<?php
2
3
4try{
5    $staff_code = $_POST['code'];
6    $staff_pass = $_POST['pass'];
7
8    $staff_code = htmlspecialchars($staff_code,ENT_QUOTES,'UTF-8');
9    $staff_pass = htmlspecialchars($staff_pass,ENT_QUOTES,'UTF-8');
10
11    $staff_pass = md5($staff_pass);
12
13    $db = new PDO('mysql:host=localhost;dbname=shop','aaaa','1111');
14            $db->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
15            $sql = 'SELECT name FROM mst_staff WHERE code=? AND password=?';
16            $stmt = $db->prepare($sql);
17            $stmt->execute(array($staff_code,$staff_pass));
18            $db = null;
19            $rec = $stmt->fetch(PDO::FETCH_ASSOC);
20            if($rec==false){
21                print'<p>スタッフコードかパスワードがまちがっています</p>';
22                print '<a href="staff_login.php">戻る</a>';
23                
24            }else{
25                header('Location:staff_top.php');
26                exit();
27            }
28            $stmt = null;
29}catch(PDOException $e){
30    echo $e->getMessage();
31    exit(); 
32}
33
34?>
35

javahack

2020/08/10 12:23

回答ではないのでこちらに書きますが、htmlspecialchars()の使い方を間違えています。画面表示時に使うもので、入力をエスケープするものではありません。 https://www.php.net/manual/ja/function.htmlspecialchars.php ついでに言うと、データINSERT時にhtmlspecialchars()を使っていない場合、htmlspecialchars()でエスケープした文字列と比較すると一致しない可能性があります。

cafe1111

2020/08/12 01:12

ご返信が遅れて申し訳ないです。 htmlspecialchars()の使い方は違うのは知ってたのですが、本にはこう記載してあったのでとりあえず真似ました。 INSERT時にhtmlspecialchars()は間違った使い方ですが使っています。この間違った使い方ではエラーが起きてしまうのでしょうか？

phper.k

2020/08/12 04:01 編集

SQLを実行して、「SELECT length(password) from mst_staff WHERE code = 'コード'」で当該レコードのパスワードの文字列数を取得して、結果を追記してください。

退会済みユーザー

2020/08/12 04:07

ログイン機能と一言で片付けられてしまうと、ユーザーの認証を何によって行い判定するのかを仕様として明示しないと、質問者と回答者側の認識のズレが生じたまま説明が重ねられてしまいますので、ログインという言葉を使わずに機能を説明できる程度に丁寧な仕様説明を質問文中にお願いします。（メールとパスワードによるログインなのか、ユーザー指定の任意に文字列によるユーザIDとパスワードなのか、あるいはワンタイムパスワードをメール通知することによるユーザー認証が加わるのかなど、解釈によっては仕様はどんどん変わってしまいますし。）

退会済みユーザー

2020/08/12 04:18 編集

本を参考にしているようですが、まさかAmazonでPHPの本を検索すると1番目に出てくるという「気づけばプロ並みPHP」なんて本じゃないでしょうね、鵜呑みにしないでより確かな作法的に正しいやり方にアップデートする習慣をつけたほうが良いですよ。

phper.k

2020/08/12 05:11

htmlspecialchars のこの使い方は、「気づけばプロ並みPHP」だろうな。。。

cafe1111

2020/08/12 05:13

phper.k様 >>SELECT length(password) from mst_staff WHERE code = '14' >>としたらlength(password)60とでてきました。 m6u様 >>データベースに割り当てられたidとパスワードでログインできる機能です。 >>まさかのその本で学習しています、、 >>progateで基礎を学んだのでアウトプットとして評価も悪くなかったのでか>>ったのですが確かに所々おかしなところがあるようですね、、、 >>本をやめて下記のサイトで学習しようかなと考えています。>>https://manablog.org/php7-review-bulletin-board/

行動規範の内容に同意します

回答2件

ベストアンサー

SELECT length(password) from mst_staff WHERE code = '14'

としたらlength(password)60とでてきました。

60文字でデータを持っていると言うことは、password_hash でハッシュ値にされているはず。少なくともmd5 であるはずがありません。

投稿2020/08/12 05:16

phper.k

総合スコア3923

phper.k

2020/08/12 05:17

md5 で作られるハッシュ値は32文字になります。

cafe1111

2020/08/13 08:06

なるほど！解決できました！ありがとうございます！

行動規範の内容に同意します

エラーは出てないですか？

~~dbname=shop'　shopの前のシングルクォートが抜けてます。~~
（勘違いをしてましたので、打ち消しました）

改めまして追記します。

では、このセットの中の最後に、　;charset=utf8　を入れるとどうなりますか？

投稿2020/08/11 05:26

編集2020/08/12 02:49

mari.rinn

総合スコア296

cafe1111

2020/08/12 01:12

'mysql:host=localhost;dbname=shop', これでワンセットなのでエラーはでてないです。

mari.rinn

2020/08/12 02:48 編集

あっつ！ごめんなさい、壮大な勘違いしてました！誠に申し訳ないです！すみません。

cafe1111

2020/08/12 04:55

いえいえ！ 'mysql:host=localhost;dbname=shop;charset=utf8' としましたがスタッフコードかパスワードがまちがっていますとなってしまいます。

mari.rinn

2020/08/12 05:26

う〜む、一つ気になるのは、 $db = null;の位置ですかね。これを、 $stmt = null;のすぐ上に置くとどうなりますか？あとは、検証方法として、まず、selectの検索条件を、スタッフコードだけにして、 select * で抽出しといて、スタッフコードが合ってるかどうかを調べて、合ってれば次にパスワードを調べる　コードが違うならエラーメッセを出す　てやり方にすると見えてくるものがあるかと思いますが。

cafe1111

2020/08/13 08:07

password_hashが原因だったみたいで解決できました！ありがとうございました！

行動規範の内容に同意します

あなたの回答