質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.80%

password_verifyがうまく使えない

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 2,737

tuckQ

score 64

前提・実現したいこと

① パスワード「aaa」をpassword_hash()でハッシュ化しDB登録
(※wordpressのcommentmetaテーブルにあるmeta_valueを使用。データ型はlongtext)
② 認証画面でパスワード「aaa」を入力しpassword_verifyで①のパスワードと照合

発生している問題

password_verify照合でパスワードが一致しない。

該当のソースコード

<?php
echo "コメント編集画面".'<br>';
$loginpw = isset($_POST["loginpw"]) ? $_POST["loginpw"]:"";
$comment_post_ID = isset($_POST["comment_post_ID"]) ? $_POST["comment_post_ID"]:"";
$hashed_pw = get_comment_meta( $comment_post_ID, 'password');

if (password_verify($loginpw, $hashed_pw[0])) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

?>

<form action="" method="post">
<input type="password" name="loginpw" size="30" />
<input type='hidden' name='comment_post_ID' value='<?php echo $comment_post_ID ?>' />
<input type="submit" name='login' value="認証する">
</form>

試したこと

パスワード照合の実態をさぐるため、下記をechoで表示比較。

① $loginpwのパスワードをpassword_hash()でハッシュ化したもの
② $hashed_pw(DB登録されいるもの)

結果、以下のことがわかった。

・①の値が認証フォームのボタンを押すたびに変化
・①が②の値と一致していない

質問

同じパスワード「aaa」でハッシュ化されたパスワードが一致しないのは何故でしょうか?
対処方法があれば教えていただきたく、よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+2

同じパスワード「aaa」でハッシュ化されたパスワードが一致しないのは何故でしょうか? 

逆に、「同じパスワードで保存したら同じハッシュ値が生成される」という状況だった場合、「よくあるパスワードのハッシュ値」を生成して、できたハッシュ値と比較するだけで、そのパスワードだということが判明してしまいます。

そういった問題を防ぐため、「ソルト」といってランダムな文字列を前につけて、その「ソルト」とハッシュ化後のパスワードをまとめて保存するようになっています。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/19 18:47

    ご回答いただきありがとうございます。「ソルト」とハッシュ値が毎回変わる理由について理解できたかと思います。一方で、ハッシュ値が毎回変わるということは、認証画面で入力するパスワード「aaa」のハッシュ値が、DBに保存されているハッシュ値と照合されることは無い?という疑問が湧き、認証の仕組み自体が良くわからなくなりました。追加の質問で恐縮なのですが、password_verify()で照合がうまきできない場合、デバッグはどのように行えばよいか、お分かりになりますでしょうか?

    キャンセル

  • 2016/11/26 18:44

    こちらの件、自己解決しました。判定表示の読み間違いという、確認ミスが原因でした。。。失礼いたしました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.80%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る