質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

3回答

5296閲覧

password_hashで作ったパスワードがpassword_verifyで正しくならない

magtaro

総合スコア21

MySQL

MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2017/10/10 08:04

###前提・実現したいこと
sakuraサーバーでphpは5.6です。
通常のログインの画面をパスワードで保護する機能をPHPで作っています。

パスワードをpassword_hashで作ったパスワードが、入力されたパスワードとpassword_verifyで調べても正しくならないので困っています。

###発生している問題・エラーメッセージ

エラーメッセージは出ないですが、私のプログラムが★NG★をいつも出します。
うまくいけば、OKが出るはずです。

パスワードを登録するプログラムでは

$pw1 = $_POST['password1'] ; $pw2 = $_POST['password2'] ; // 2回入れたパスワードを検証してから $pw0 = password_hash(pw1, PASSWORD_DEFAULT); // ハッシュ化します。 // できたハッシュ化したパスワードをDBに登録します。 $sql = "UPDATE idmaster SET password='".$pw0."' WHERE id = '".$id."'"; $result_flag = mysql_query($sql); ```DBを見ると、idもpasswordも60文字くらいのものが登録されて良さそうです。 ログインの画面では
$id = $mysqli->real_escape_string($_POST["id"]); // idをサニタイズして $query = "SELECT * FROM idmaster WHERE id = '" . $id . "'"; $result = $mysqli->query($query); // DBからidからレコードを読みます while ($row = $result->fetch_assoc()) { // パスワードの取り出しをし $db_hashed_pwd = $row['password']; } $pw1 = $_POST["password"]; // 画面からパスワードをもらいます if (password_verify($pw1, $db_hashed_pwd)) { print " OK"; } else { print " ★NG★"; }
こういうふうに、パスワードを調べていますが、いつもNGになっています。 $idと$pw1と$db_hashed_pwdを比較する前にprintしたみたけど idと入力したパスワードとDBにあるpasswordと一致しています。 ですから、OKが出るはずなのですが、いつも★NG★になってしまいます。 ちなみに、DBのI/Fが登録する時はmysqlを使い、検証する時はmysqliを使っていますが、問題はないですよね。(参考にしたコードがそうなっていたため) ###試したこと password_verifyを使わず、もう一度password_hashをして比較しようとしましたが、password_hashは毎回違った値を生成するのですね。 password_verifyの2つのパラメータを念のため入れ替えてみても駄目でした。 ###補足情報(言語/FW/ツール等のバージョンなど) DBはmySQL 5.5です。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

masaya_ohashi

2017/10/10 08:20

全てのIDでパスワード認証が失敗しますか?特定のIDだけで失敗しますか?
退会済みユーザー

退会済みユーザー

2017/10/10 08:24

mysqliのみに統一しましょうね、いつまでもmysqlを使っていると
magtaro

2017/10/10 08:32

2つのIDで、パスワードも異なっていますが、2つ共NGでした。
magtaro

2017/10/10 08:33

はい、もともとPHP7にするつもりなので、mysqliに統一しますが、とりあえず、パスワードの認証を解決しないと。。。。
guest

回答3

0

ベストアンサー

$pw0 = password_hash(pw1, PASSWORD_DEFAULT);となっていますが、本当にpw1と書いていると、それは「pw1という文字列」として解釈されてしまいます。

(もしそれが引用時の単なるミスなら、この回答は無視してください)

投稿2017/10/10 08:41

maisumakun

総合スコア145062

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

退会済みユーザー

退会済みユーザー

2017/10/10 08:42

そこ、見落としてました、それだ
masaya_ohashi

2017/10/10 08:45

これは一本取られました…お見事です。
magtaro

2017/10/11 00:48

それが原因でした。 本当に助かりました。 ありがとうございました。
maisumakun

2017/10/11 00:51

この未定義定数に関する挙動も、PHP 7.2ではE_WARNINGに格上げ、PHP 8.0ではついに廃止となるようです(有用というより、今となってはバグの種にしかならなさそうですし)。 https://wiki.php.net/rfc/deprecate-bareword-strings
guest

0

コード的にはなにも不都合はなさそうですが…
ログイン画面に送られてくる$_POST['password']に空白や改行が混ぎれこんでいるということはないでしょうか?もしくはパスワードにマルチバイト文字(日本語とか)を使っているとか

投稿2017/10/10 08:39

masaya_ohashi

総合スコア9206

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

magtaro

2017/10/10 08:42

いえ、今は実験中ですので、パスワードは「1234567a」ような空白や改行が紛れ込むことはないですし、マルチバイト文字も使っていません。
guest

0

(全面書き換えしたので、BA不要)
$pw0 = password_hash(**$**pw1, PASSWORD_DEFAULT); // ハッシュ化します。

maisumakunさんの回答を支持します。

投稿2017/10/10 08:31

編集2017/10/10 08:45
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2017/10/10 08:42

ソルトを固定しては、システム内のことを考えると同じパスワードに対して同じハッシュが生成されることとなり、ソルトの値打ちが激減してしまいます。 PHP 7では、ソルトの固定は非推奨となる、とのことです。
退会済みユーザー

退会済みユーザー

2017/10/10 08:45

こっ恥ずかしい回答なので、全面書き換えいたしました
magtaro

2017/10/10 09:01

http://php.net/manual/ja/function.password-hash.php に「警告 このソルト・オプションは、PHP 7.0.0 で非推奨になりました。 このオプションは指定せずに、デフォルトで生成されるソルトを使うことを推奨します。」なっていますので、ソルトは指定するのは、採用できません。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問