ログイン認証画面作成

こんにちは、

今、PHPでログイン認証画面を作ってみております。
DBの仕様は下記の通りです。

カラム：code,name,password
キー：primary key（code） AUTO_INCREMENT

password_hash()でパスワードをハッシュ化してからDBへ登録される。
ログイン画面では、password_verify()関数で$_POSTされたパスワードと
DBからハッシュ化されたパスワードを取り出して比較する。

ところが、ログイン画面から正しくパスワードを入力しても、「パスワード間違っています。」と表示される。デバッグしてみたら、$_POSTされた値は入力の値である、DBから取得したパスワードがハッシュ化された値である。どっちが良くないでしょうか？

どなたご存知方ご教示いただければと思いご連絡いたします。
何卒よろしくお願いいたします。
補足：ご指摘の点がございましたら、ご指摘していただければ有難いです。

ファイルは下記の通りです。
まず、staff_login.php

ini_set("display_errors", On);
error_reporting(E_ALL);
session_start();
require '../lib/functions.php';
// session_regenerate_id(true);
require '../header.php';

//トークンを確認
if(!isset($_SESSION['token'])){
    $_SESSION['token'] = base64_encode(openssl_random_pseudo_bytes(32));
}

$token = $_SESSION['token'];
?>

    <div class="staff_add">
        <p>スタッフログイン</p>
        <form action="staff_login_check.php" method="post">
            <p>スタッフコード</p>
            <p><input type="text" name="code" value="" maxlength="100" required></p>
            <p>パスワード</p>
            <p><input type="password" name="pass" value="" required></p>
            <div>
                <!--<input type="button" onclick="history.back()" value="戻る">-->
                <input type="hidden" name="token" value="<?php echo h($token); ?>">
                <input type="submit" value="ログイン">
            </div>
        </form>
    </div>
        
<?php
require '../footer.php';
コード

次、staff_login_check.php

ini_set("display_errors", On);
error_reporting(E_ALL);
session_start();
// session_regenerate_id(true);
require '../lib/functions.php';
require '../header.php';

if($_SERVER["REQUEST_METHOD"] !== "POST"){
 die("不正アクセス");
}

//トークンをcheck
if(isset($_POST['token']) && isset($_SESSION['token'])){
    $token = $_POST['token'];
    
    if($token != $_SESSION['token']){
        die('不正アクセスですが発生！');
    }
}else{
    die('操作が間違っています。最初からやり直してください。');
}

//DBへ接続
try{
    //変数にpostされたデータを代入
    $code = isset($_POST['code']) ? $_POST['code'] : '';
    $pass = isset($_POST['pass']) ? $_POST['pass'] : '';var_dump($pass);
    //$passhash = password_hash($pass, PASSWORD_DEFAULT);
    $pdo = new PDO('mysql:host=localhost;dbname=shop;charset=utf8', 'root', '');
    $pdo->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
    $pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES,false);
    $sql = 'select * from ms_staff where code=?';
    $product = $pdo->prepare($sql);
    $product->bindValue(1, $code);
    $product->execute();
    $rec = $product->fetch(PDO::FETCH_ASSOC);
    var_dump($rec);
    var_dump($rec['code']);
    var_dump($rec['password']);
    var_dump($rec['name']);
    $pdo = null;
    
    
}catch(Exception $e){
    die('接続エラー：' . $e->getMessage());
}

?>
<div class="staff_add">
        <p>商品追加</p>
        <?php
        // if(isset($rec)){
        //     $passdb = $rec['password'];
        // }
        if (password_verify($pass, $rec['password'])) {
    echo 'Password is right';
} else {
    echo 'パスワード間違っています。';
}
echo "<pre>";
print_r($pass); 
echo '\n';
print_r($rec['password']);
echo "</pre>"

        // if(password_verify($pass, $rec['password'])){
        //     $_SESSION['login'] =1;
            
        //     $_SESSION['staff_code'] = isset($rec['code']) ? $rec['code'] : '';
        //     $_SESSION['name'] = isset($rec['name']) ? $rec['name'] : '';var_dump($_SESSION['name']);
        //     $_SESSION['rec'] = isset($rec);
        //     $_SESSION['password'] = isset($rec['password']) ? $rec['password'] : '';
        //     header('Location: staff_top.php');
        
        // }else{
        //     echo 'スタッフコードかパスワードが間違っています';
        //     echo ' <P><a href="staff_login.php">ログイン画面へ</a></P>';var_dump($pass);var_dump($rec['password']);
            
        // }
        ?>
    </div>
    
<?php
require '../footer.php';
コード

以上、お手数をおかけいたしますが、よろしくお願いいたします。

m.ts10806

2017/09/25 07:35 編集

テストの手順を明記してください。あと、ちょこちょこ文章が（日本語的に）おかしいところがあります。現象を単に羅列するだけでなく、箇条書きを利用するなどして整理してください。

行動規範の内容に同意します

回答2件

ざっと見た感じ、かなりエラーが発生しているはずなので、まず確認してください。
エラー表示がされていないようであれば、スクリプトの頭に以下を書いて表示するようにしてください。

php
1error_reporting(E_ALL);
2ini_set("display_errors", 1);

また、

php
1    $code = h($_POST['code']);
2    $pass = md5(h($_POST['pass']));

あたりのスクリプトを使用しているので、参考にしているスクリプトが良くないです。
DB 内の値と比較する$code、$passは素のままの code、pass を使用すべきですし、パスワードのハッシュ化に関しては、現在 md5 は推奨されていません。

よく使われるハッシュ関数である md5() や sha1() は、なぜパスワードのハッシュに適していないのですか?

ログイン系の操作に関しては、以下の記事シリーズが網羅的であると思うので参考にしてみてはいかがでしょうか。
PHPでログイン機能を実装するチュートリアル #1

投稿2017/09/25 07:35

退会済みユーザー

総合スコア0

shaobao

2017/09/25 14:49

ご回答いただきありがとうございます。ご指摘の点に関しては、今後ご参考させていただきます。但し、今まだPHP初心者のため、勉強を含めて、あまり深く考えなくて、ログイン認証画面を簡潔に作ってみようと考えております。 var_dumpでデバッグしてみたんですが、DBからなぜnullの値が返してくるか？お手数をおかけいたしますが、もっと詳しくご教示していただければありがたいでございます。何卒よろしくお願いいたします。

退会済みユーザー

2017/09/25 15:23

書いている通り、エラーが複数出るはずです。まず、書いてあることをやった後、不明点を聞いていただければ。あと、何やってるか理解していないので、関数は全部マニュアルを確認したほうが良いです。ざっとですが・$token がない・<?php echo md5(h($pass)); ?> で何度も md5がかかる・パスワード間違った時の処理はおかしいので何も意図した通り動かない・if(isset($rec) == false) は意図した動作をしない等々。まずデバッグ環境整えたほうが学習効率あがるんで、そこから手をつけたほうが良いと思います。

shaobao

2017/09/27 14:09

こんばんは、この度、ご回答いただきありがとうございます。詳しくご指摘していただき大変助かります。独学の私にとって、すごく参考になります。有難いです。ところが、今回、password_hash()で登録するパスワードをpassword_hash()でハッシュ化して、ログイン画面では、password_verify()関数で入力されたパスワードとDBからハッシュ化されたパスワードと比較してみたですが、パスワードが一致しませんしか表示できません。PHPバージョンは、5.5.9です。ソースコードも変更してみました。お手数をおかけいたしますが、再度ご教示していただければありがたいです。何卒宜しくお願い致します。