質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

91.02%

  • PHP

    17769questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5100questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

password_hashで作ったパスワードがpassword_verifyで正しくならない

解決済

回答 3

投稿

  • 評価
  • クリップ 0
  • VIEW 246

magtaro

score 6

前提・実現したいこと

sakuraサーバーでphpは5.6です。
通常のログインの画面をパスワードで保護する機能をPHPで作っています。

パスワードをpassword_hashで作ったパスワードが、入力されたパスワードとpassword_verifyで調べても正しくならないので困っています。

発生している問題・エラーメッセージ

エラーメッセージは出ないですが、私のプログラムが★NG★をいつも出します。
うまくいけば、OKが出るはずです。

パスワードを登録するプログラムでは

    $pw1 = $_POST['password1'] ;
    $pw2 = $_POST['password2'] ; // 2回入れたパスワードを検証してから

    $pw0 = password_hash(pw1, PASSWORD_DEFAULT); // ハッシュ化します。

// できたハッシュ化したパスワードをDBに登録します。

    $sql = "UPDATE idmaster SET password='".$pw0."' WHERE id = '".$id."'";
    $result_flag = mysql_query($sql);

DBを見ると、idもpasswordも60文字くらいのものが登録されて良さそうです。

ログインの画面では

    $id = $mysqli->real_escape_string($_POST["id"]); // idをサニタイズして
    $query = "SELECT * FROM idmaster WHERE id = '" . $id . "'";
    $result = $mysqli->query($query); // DBからidからレコードを読みます

    while ($row = $result->fetch_assoc()) { // パスワードの取り出しをし
      $db_hashed_pwd = $row['password'];
    }

    $pw1 = $_POST["password"]; // 画面からパスワードをもらいます
    if (password_verify($pw1, $db_hashed_pwd)) {
    print "  OK";
    } else {
    print "  ★NG★";
    }


こういうふうに、パスワードを調べていますが、いつもNGになっています。

$idと$pw1と$db_hashed_pwdを比較する前にprintしたみたけど
idと入力したパスワードとDBにあるpasswordと一致しています。
ですから、OKが出るはずなのですが、いつも★NG★になってしまいます。

ちなみに、DBのI/Fが登録する時はmysqlを使い、検証する時はmysqliを使っていますが、問題はないですよね。(参考にしたコードがそうなっていたため)

試したこと

password_verifyを使わず、もう一度password_hashをして比較しようとしましたが、password_hashは毎回違った値を生成するのですね。

password_verifyの2つのパラメータを念のため入れ替えてみても駄目でした。

補足情報(言語/FW/ツール等のバージョンなど)

DBはmySQL 5.5です。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • masaya_ohashi

    2017/10/10 17:20

    全てのIDでパスワード認証が失敗しますか?特定のIDだけで失敗しますか?

    キャンセル

  • m6u

    2017/10/10 17:24

    mysqliのみに統一しましょうね、いつまでもmysqlを使っていると

    キャンセル

  • magtaro

    2017/10/10 17:32

    2つのIDで、パスワードも異なっていますが、2つ共NGでした。

    キャンセル

  • magtaro

    2017/10/10 17:33

    はい、もともとPHP7にするつもりなので、mysqliに統一しますが、とりあえず、パスワードの認証を解決しないと。。。。

    キャンセル

回答 3

checkベストアンサー

+4

 $pw0 = password_hash(pw1, PASSWORD_DEFAULT);となっていますが、本当にpw1と書いていると、それは「pw1という文字列」として解釈されてしまいます。

(もしそれが引用時の単なるミスなら、この回答は無視してください)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/10 17:42

    そこ、見落としてました、それだ

    キャンセル

  • 2017/10/10 17:45

    これは一本取られました…お見事です。

    キャンセル

  • 2017/10/11 09:48

    それが原因でした。
    本当に助かりました。
    ありがとうございました。

    キャンセル

  • 2017/10/11 09:51

    この未定義定数に関する挙動も、PHP 7.2ではE_WARNINGに格上げ、PHP 8.0ではついに廃止となるようです(有用というより、今となってはバグの種にしかならなさそうですし)。

    https://wiki.php.net/rfc/deprecate-bareword-strings

    キャンセル

0

(全面書き換えしたので、BA不要)
$pw0 = password_hash($pw1, PASSWORD_DEFAULT); // ハッシュ化します。

maisumakunさんの回答を支持します。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/10 17:42

    ソルトを固定しては、システム内のことを考えると同じパスワードに対して同じハッシュが生成されることとなり、ソルトの値打ちが激減してしまいます。

    PHP 7では、ソルトの固定は非推奨となる、とのことです。

    キャンセル

  • 2017/10/10 17:45

    こっ恥ずかしい回答なので、全面書き換えいたしました

    キャンセル

  • 2017/10/10 18:01

    http://php.net/manual/ja/function.password-hash.php
    に「警告
    このソルト・オプションは、PHP 7.0.0 で非推奨になりました。 このオプションは指定せずに、デフォルトで生成されるソルトを使うことを推奨します。」なっていますので、ソルトは指定するのは、採用できません。

    キャンセル

0

コード的にはなにも不都合はなさそうですが…
ログイン画面に送られてくる$_POST['password']に空白や改行が混ぎれこんでいるということはないでしょうか?もしくはパスワードにマルチバイト文字(日本語とか)を使っているとか

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/10/10 17:42

    いえ、今は実験中ですので、パスワードは「1234567a」ような空白や改行が紛れ込むことはないですし、マルチバイト文字も使っていません。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 91.02%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

  • 解決済

    PHPとMySQLについて

    ](fadebad2fd9a28a1fd4d1ebd714c7f9b.png) 今、PHPとMySQLを使った認証システムを作成しているのですが、ここで質問があります。

  • 解決済

    MySQLでUPDATEが実行できない

    前提・実現したいこと PHPとMySQLで記事を「投稿」「編集」「削除」するシステムを作っています。   投稿と削除は完成したのですが、UPDATE文で実装しようと思っている編

  • 解決済

    電話番号もしくはメールアドレスでユーザ認証させたい

    ユーザー認証を ・電話番号orメールアドレス ・パスワード にしたいのですが、どのように書けば良いでしょうか。 $sql ='SELECT * FROM user

  • 解決済

    insertした際のprimary keyの値を知りたい。

    度々お世話になっております。 CREATE TABLE users ( users_id int(8) NOT NULL AUTO_INCR

  • 解決済

    MySQL,PHP リロードによる二重送信

    MySQL,PHPについての質問です。 phpmyadmin(テーブル名XXX)を使った 掲示板を作ろうとしているのですが、 投稿した後にそのままページ更新をした際同じ投

  • 解決済

    MySQL,PHPの投稿削除機能を備えた掲示板

    前提・実現したいこと MySQL、PHPについての質問です。 削除機能を備えた掲示板を作ろうとしています。 phpMyAdminにXXXというテーブルを設定し、 それぞ

  • 解決済

    複数の変数のupdateについて

    各店舗(id)のリーダー(leaders)に、なる(value=2)ならない(value=3)をupdateしたいのですが以下のコードを実行してもカラムの値が変わることはありません

  • 解決済

    ECサイトにおけるログイン機能について

    現在、ECサイトのログイン機能を作成しています。 データベース上に登録されている情報と照らし合わせて、一致するものがあればログインするという感じにしようと思っています。

同じタグがついた質問を見る

  • PHP

    17769questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • MySQL

    5100questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。