質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.22%

hash_verify()がうまく結果をかえさない

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 1,274

kuzurotto

score 403

下記で動作テストしてみました。

$nama = filter_input(INPUT_POST,password);
$hash = password_hash(filter_input(INPUT_POST,password),PASSWORD_DEFAULT);
$result = password_verify($nama,$hash);

echo '生パス:'.$nama .'<br />';
echo 'ハッシュ:'.$hash .'<br />';
var_dump($result);

結果はbool(true)です。

しかし、実際にDBにあるハッシュ化されたパスワードと生パスを比較するとfalseになってしまいます。

原因は何が考えられますでしょうか?

実際の記述です。

<?php
$email = filter_input(INPUT_POST,email);
$password = filter_input(INPUT_POST,password);

$sql = "SELECT * FROM user_data WHERE email = ? AND password = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([
    $email,
    $password
    ]);
$hitdata =$stmt->fetch();

if(isset($email) && isset($password)) {
    if($email === $hitdata[email] && password_verify($password,$hitdata[password]) ){
        $_SESSION['email'] = h(filter_input(INPUT_POST,email));
        header('Location: login1.php');
    } else {
        $messe = "ログインできませんでした";
    }
}
?>

<form action="" method="post">
    <p>E-mail</p>
    <input type="email" name="email" id="email" value="<?php echo h(filter_input(INPUT_POST,email)); ?>"/ maxlength="255">

    <p>Password</p>
    <input type="password" name="password" id="password" value="<?php echo h(filter_input(INPUT_POST,password)); ?>" maxlength="255" pattern="(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{6,}" title="6文字以上で1文字以上の数字、小文字アルファベット、大文字アルファベットがそれぞれ含まれていること">

    <p><input type="checkbox" id="save" name="save" value="on" />次回からは自動的にログインする</p>
    <input type="submit" value="ログイン">
    <br />
    <?php echo $messe ?>
</form>

多分、
echo $hitdata['email'];
echo $hitdata['password'];

で何も出力されないので

$sql = "SELECT * FROM user_data WHERE email = ? AND password = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([
$email,
$password
]);

のところで

password = ?

password = 生パスワード

になっているのでデータがヒットしていないから
echo $hitdata['email'];
echo $hitdata['password'];
に何も入っていないと思うのですが、

こういう場合どうしたらよろしいでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

PHPでログイン機能を実装するチュートリアル #1

こちらの password_hash() の説明を参考にしてみてください。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/01 15:56

    回答ありがとうございます。

    要は
    $sql = "SELECT * FROM user_data WHERE email = ? AND password = ?";
    じゃなくて
    $sql = "SELECT * FROM user_data WHERE email = ? ";

    という風にメールアドレスだけでデータ取得しておいて
    アドレスからハッシュ化パス引っ張ってきて、
    password_verify()で照合したらいいということでしょうか?

    キャンセル

  • 2016/07/01 15:56

    そういうことです

    キャンセル

  • 2016/07/01 15:56

    理解です!

    ありがとうございます!

    キャンセル

0

ハッシュが保存されているなら、executeに渡すべき値はこうなるかと思いますが…

$stmt->execute([
    $email,
    password_hash($password,PASSWORD_DEFAULT)
    ]);

追記

password_hashの使い方が誤っているとの指摘を受けたので修正。
そもそもDB上でパスワードが合っているかを確認できないので、DBに保存されたハッシュ値を受け取って、そのあと生のパスワードデータとハッシュ値を使ってpassword_verifyすればいいんではないでしょうか。

$sql = "SELECT * FROM user_data WHERE email = ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([
$email
]);
if(password_verify($password, $stmt["password"])) {
    // OK
}

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/07/01 09:55

    password_hashの返す値は、同じパスワードであっても、salt を含むため、返す値は一定ではありません。

    キャンセル

  • 2016/07/01 15:50

    回答ありがとうございます。

    ハッシュ値は毎回ことなるので、それでは取得できないんです...

    $password = "test";
    echo password_hash($password,PASSWORD_DEFAULT)
    ↑毎回違うものが出力されます。

    WHERE句でpassword = ?の分部で?に入っているのは入力したパスワード(生パス)で
    しかし実際DBへ登録されているのはハッシュ化されたパスワードであるが故に
    いくら比較しても取得できていないのだと思います...

    ということは

    $sql = "SELECT * FROM user_data WHERE email = ? AND password = ?";
    $stmt = $pdo->prepare($sql);
    $stmt->execute([
    $email,
    $password,PASSWORD_DEFAULT)
    ]);


    の分部を工夫しないといけないと思うのですが、それが分からず...
    どうやってDBのハッシュ化されたパスを比較させるか?ですかね...

    password_verify(生パス,ハッシュ化されたパス)

    キャンセル

  • 2016/07/01 16:02

    ohashiさんもありがとうございます!
    当初生パスのままログイン画面作っていて、
    ハッシュ化対応はあとからしようと思っていて今になってログイン画面改修しています💦

    でも、他の画面の作っていたこともあって当初よりはすんなり理解しながら記述できていたりするところもあります。

    当初はログイン画面作るだけで2週間かかったりしてましたが、すんなりできると楽しくなってきました。

    これもohashiさんやShibuyaさんやみなさんのアドバイスのおかげです。
    本当にありがとうございます。

    キャンセル

  • 2016/07/01 17:03

    とてもよいことです。これからも精進してください。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.22%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る