質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

phpMyAdmin

phpMyAdminはオープンソースで、PHPで書かれたウェブベースのMySQL管理ツールのことです。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

Q&A

2回答

1412閲覧

ハッシュ化したパスワードを認証する

rumichan

総合スコア6

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

phpMyAdmin

phpMyAdminはオープンソースで、PHPで書かれたウェブベースのMySQL管理ツールのことです。

SQL

SQL(Structured Query Language)は、リレーショナルデータベース管理システム (RDBMS)のデータベース言語です。大きく分けて、データ定義言語(DDL)、データ操作言語(DML)、データ制御言語(DCL)の3つで構成されており、プログラム上でSQL文を生成して、RDBMSに命令を出し、RDBに必要なデータを格納できます。また、格納したデータを引き出すことも可能です。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

データベース

データベースとは、データの集合体を指します。また、そのデータの集合体の共用を可能にするシステムの意味を含めます

0グッド

2クリップ

投稿2021/10/09 11:45

編集2021/10/09 14:26

![イメージ説明]
↑ データベース名mydbのusersテーブルです

<!DOCTYPE html> <html lang="ja"> <head> <meta charset="utf-8"> <title>新規登録ページ</title> <link rel="stylesheet" href="css/style.css"> <meta name="viewport" content="width=device-width"> </head> <body> <form class="box" action="insert.php" method="post"> <h1>新規登録</h1> <input type="text" name="username" placeholder="ID"> <input type="password" name="password" placeholder="password"> <input type="submit" name="signin" value="登録"> </form> </body> </html>
<?php session_start(); if(empty($_POST["username"]) || empty($_POST["password"])) { header("Location: signin.php?err=2"); exit(); } $hash_pass = password_hash($_POST['password'], PASSWORD_DEFAULT); //重複チェック require_once("dbconnect.php"); //データベース内のusernameを取得 $sql = "SELECT * FROM users WHERE username=:username"; $stmt = $pdo->prepare($sql); $stmt->bindValue(":username", $_POST["username"], PDO::PARAM_STR); $stmt->execute(); $row = $stmt->fetch(PDO::FETCH_ASSOC); //DB内に登録されているusernameと重複していない場合は、登録する if(!isset($row["username"])) { $sql = "INSERT INTO users(username, password) VALUES(:username, :password)"; $stmt = $pdo->prepare($sql); $stmt->bindValue(":username", $_POST["username"], PDO::PARAM_STR); $stmt->bindValue(":password", password_hash($_POST["password"], PASSWORD_DEFAULT), PDO::PARAM_STR); $stmt->execute(); header("Location: done.php"); } else { header("Location: insert.php"); exit(); }
session_start(); if(empty($_POST["username"]) || empty($_POST["password"])) { header("Location: login.php?err=1"); exit(); } $hash = "password_hash($_POST["password"], PASSWORD_DEFAULT)"; require_once("dbconnect.php"); $sql = "SELECT * FROM users WHERE username=:username"; $stmt = $pdo->prepare($sql); $stmt->bindValue(":username", $_POST["username"], PDO::PARAM_STR); $stmt->execute(); $row = $stmt->fetch(PDO::FETCH_ASSOC); //入力情報がDB内に登録されているか確認 if(empty($row["username"]),password_verify($_POST['password'], $hash['password'])){ //認証失敗 header("Location: login.php?err=2"); exit(); //session情報がある時はマイページヘリダイレクト if(isset($_SESSION["login"])){ header("Location: mypage.php"); } } else { //認証成功 sessionに値を保存 $_SESSION["login"] = htmlspecialchars($_POST["login"]); //postの値をエスケープ処理 header("Location: mypage.php"); } ?>

コード上から、新規登録ページ → その処理 → ログインフォームの処理 になっています。

新規登録画面で、入力したusenameとpasswordをデータベースに登録し、loginページで認証してデータベースにあるusrenameとpassword
に一致したらloginをするというシステムを作っています。

パスワードをハッシュ化したほうが良いと指摘されましたので、hashしたパスワードを登録する処理をかきました。(コード2つ目)

データベースに登録しているusernameが正しければ認証したいのですが、

なぜかハッシュ化されている情報だけ、ログインできない状況です。
ハッシュ化されていない情報のユーザーネームとパスワードを入力したら、ログインできます。
この違いはどこがおかしいのでそゆか。。??

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

パスワードハッシュは、生成するたびに違う値となるので、それをキーにデータベースから引くことはできません。

usernameだけを条件にしてデータベースから検索してください。

投稿2021/10/09 13:22

maisumakun

総合スコア146054

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rumichan

2021/10/09 13:57

usernameだけを条件にして認証処理をやっていますが、ハッシュ化されたパスワードがある情報だけ、ログインできない状況です。
maisumakun

2021/10/09 14:02

「SELECT * FROM users WHERE username=:username AND password=:password」からパスワードの条件は外した、ということですか?
rumichan

2021/10/09 14:04

はい。外してます。
maisumakun

2021/10/09 14:07

:passwordへのbindValueも削る必要があります。
rumichan

2021/10/09 14:12

今削って確認したのですができないですね、、 そもそもユーザネームだけ認証してあってればログイン成功って、 パスワードはあってなくても認証できるという仕組みになって、セキュリティ上よろしくない感じになりませんか??
maisumakun

2021/10/09 14:15 編集

> パスワードはあってなくても認証できるという仕組みになって、セキュリティ上よろしくない感じになりませんか?? もちろん、引いたあとでpassword_verifyを使ってパスワードを検証する必要はあります(まさかもともと書いてあったpassword_verifyを削るとは思わなかった…)。
rumichan

2021/10/09 14:17

いや、今削ったノのは、おっしゃったbilndvalueのところですね。。。
rumichan

2021/10/09 14:43

そこ書き足しても、機能しないです!
rumichan

2021/10/09 14:45

err=2が返ってきてるので、入力した内容がいってないんですかね。。?
guest

0

DB の画像のみ見て回答しています。

password_hash

例1 password_hash() の例

/**

  • デフォルトのアルゴリズムを使ってパスワードをハッシュします。
  • 現時点でのデフォルトは BCRYPT で、その結果は 60 文字になります。
  • デフォルトは、今後変わる可能性があることに注意しましょう。結果が
  • 60 文字以上になっても対応できるようにしておきましょう (255 あたりが適切です)

*/

投稿2021/10/09 11:56

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

rumichan

2021/10/09 12:00

はい、直しました。問題の解決にはつながりませんでした。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問