質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

1回答

4483閲覧

password_verifyがうまく使えない

tuckQ

総合スコア64

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2016/11/19 06:16

###前提・実現したいこと
① パスワード「aaa」をpassword_hash()でハッシュ化しDB登録
(※wordpressのcommentmetaテーブルにあるmeta_valueを使用。データ型はlongtext)
② 認証画面でパスワード「aaa」を入力しpassword_verifyで①のパスワードと照合

###発生している問題
password_verify照合でパスワードが一致しない。

###該当のソースコード

php

1<?php 2echo "コメント編集画面".'<br>'; 3$loginpw = isset($_POST["loginpw"]) ? $_POST["loginpw"]:""; 4$comment_post_ID = isset($_POST["comment_post_ID"]) ? $_POST["comment_post_ID"]:""; 5$hashed_pw = get_comment_meta( $comment_post_ID, 'password'); 6 7if (password_verify($loginpw, $hashed_pw[0])) { 8 echo 'Password is valid!'; 9} else { 10 echo 'Invalid password.'; 11} 12 13?> 14 15<form action="" method="post"> 16<input type="password" name="loginpw" size="30" /> 17<input type='hidden' name='comment_post_ID' value='<?php echo $comment_post_ID ?>' /> 18<input type="submit" name='login' value="認証する"> 19</form> 20

###試したこと
パスワード照合の実態をさぐるため、下記をechoで表示比較。

① $loginpwのパスワードをpassword_hash()でハッシュ化したもの
② $hashed_pw(DB登録されいるもの)

結果、以下のことがわかった。

・①の値が認証フォームのボタンを押すたびに変化
・①が②の値と一致していない

###質問
同じパスワード「aaa」でハッシュ化されたパスワードが一致しないのは何故でしょうか?
対処方法があれば教えていただきたく、よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

同じパスワード「aaa」でハッシュ化されたパスワードが一致しないのは何故でしょうか?

逆に、「同じパスワードで保存したら同じハッシュ値が生成される」という状況だった場合、「よくあるパスワードのハッシュ値」を生成して、できたハッシュ値と比較するだけで、そのパスワードだということが判明してしまいます。

そういった問題を防ぐため、「ソルト」といってランダムな文字列を前につけて、その「ソルト」とハッシュ化後のパスワードをまとめて保存するようになっています。

投稿2016/11/19 06:23

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

tuckQ

2016/11/19 09:47

ご回答いただきありがとうございます。「ソルト」とハッシュ値が毎回変わる理由について理解できたかと思います。一方で、ハッシュ値が毎回変わるということは、認証画面で入力するパスワード「aaa」のハッシュ値が、DBに保存されているハッシュ値と照合されることは無い?という疑問が湧き、認証の仕組み自体が良くわからなくなりました。追加の質問で恐縮なのですが、password_verify()で照合がうまきできない場合、デバッグはどのように行えばよいか、お分かりになりますでしょうか?
tuckQ

2016/11/26 09:44

こちらの件、自己解決しました。判定表示の読み間違いという、確認ミスが原因でした。。。失礼いたしました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問