teratail
回答率
85.30%
質問するログイン新規登録
トップPHPに関する質問ハッシュ化したパスワードが一致しない

編集履歴

回答編集履歴

8

間違えていました

2015/12/08 05:44

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,6 +1,9 @@
1
- こんにちは。[password_hash](http://php.net/manual/ja/function.password-hash.php)のソルトは毎回ランダムなもの利用されまゆえにDBにある、事前に生成した「ハッシュ済みパスワード文字列」とパスワード入力されて照合する際に生成されるハッシュ文字列と、異なった内容になると思い
1
+ password_verify 使わていしたね失礼ました、下記問題ありせん
2
2
 
3
3
  ---
4
+ [password_hash](http://php.net/manual/ja/function.password-hash.php)のソルトは毎回ランダムなものが利用されます。ゆえにDBにある、事前に生成した「ハッシュ済みパスワード文字列」と、パスワード入力されて照合する際に生成されるハッシュ文字列とは、異なった内容になると思います。
5
+
6
+ ---
4
7
  あと、余談ですみませんが、初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所は、ちょっと怪しいです。
5
8
 
6
9
  htmlspecialcharsは、HTML出力するために利用するもので、使うところはヒアドキュメントの中や直近です。

7

改行

2015/12/08 05:44

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -3,7 +3,10 @@
3
3
  ---
4
4
  あと、余談ですみませんが、初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所は、ちょっと怪しいです。
5
5
 
6
+ htmlspecialcharsは、HTML出力するために利用するもので、使うところはヒアドキュメントの中や直近です。
7
+
6
- htmlspecialcharsは、HTML出力すために利用するもで、使うところはヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
8
+ [Qiita - $_GET, $_POSTなどを受け取処理](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
9
+
7
10
  もしパスワード文字列内に & < > などがあれば、ここで加工されてしまいますので、ハッシュ関係の処理でうまく行えたとしても照合結果NGとなるでしょう。
8
11
 
9
12
  POSTやGETされる値の安全な取得は、[filter_input](http://php.net/manual/ja/function.filter-input.php) 関数を利用すると便利です。

6

整形

2015/12/08 05:35

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,9 +1,9 @@
1
1
  こんにちは。[password_hash](http://php.net/manual/ja/function.password-hash.php)のソルトは毎回ランダムなものが利用されます。ゆえにDBにある、事前に生成した「ハッシュ済みパスワード文字列」と、パスワード入力されて照合する際に生成されるハッシュ文字列とは、異なった内容になると思います。
2
2
 
3
+ ---
3
- http://php.net/manual/ja/function.password-hash.php
4
+ あと、余談ですみませんが、初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所は、ちょっと怪しいです。
4
5
 
6
+ htmlspecialcharsは、HTML出力するために利用するもので、使うところはヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
5
- 初っ端POST変数のsanitize(htmlspecialchars)を行っている箇所がちょっ
7
+ もしパスワード文字列内に & < > などがればここ加工されしまますのでハッシュ関係の処理でうまく行えたとしても照合結果NGとなるしょう
6
8
 
7
- htmlspecialcharsは、HTML出力するために利用するもので、使うのであればヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
8
-
9
9
  POSTやGETされる値の安全な取得は、[filter_input](http://php.net/manual/ja/function.filter-input.php) 関数を利用すると便利です。

5

補足

2015/12/08 05:33

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,4 +1,4 @@
1
- こんにちは。password_hash()のソルトは毎回変更されます。ゆえにDBにあるハッシュ済みパスワード文字列とは異なった内容になると思います。
1
+ こんにちは。[password_hash](http://php.net/manual/ja/function.password-hash.php)のソルトは毎回ランダムなものが利用されます。ゆえにDBにある、事前に生成した「ハッシュ済みパスワード文字列、パスワード入力されて照合する際に生成されるハッシュ文字列と異なった内容になると思います。
2
2
 
3
3
  http://php.net/manual/ja/function.password-hash.php
4
4
 

4

修正

2015/12/08 05:31

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,8 +1,9 @@
1
- こんにちは。
2
- 初っ端でPOST変数のsanitize(htmlspecialchars)を行ってい箇所が、ちょっと怪しす。
1
+ こんにちは。password_hash()のソルトは毎回変更されます。ゆえにDBにあハッシュ済みパスワード文字列とは異なた内容になるす。
3
- ハッシュされた値が、htmlspecialchars関数で加工されてしまっていませんか?
4
2
 
3
+ http://php.net/manual/ja/function.password-hash.php
4
+
5
+ あと、初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所が、ちょっと怪しいです。
6
+
5
7
  htmlspecialcharsは、HTML出力するために利用するもので、使うのであればヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
6
- この関数をパスワード照合前に呼んでしまっていることで、パスワードなどのデータ自体を入力内容から加工してしまっている気がします。
7
8
 
8
9
  POSTやGETされる値の安全な取得は、[filter_input](http://php.net/manual/ja/function.filter-input.php) 関数を利用すると便利です。

3

再修正

2015/12/08 05:29

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,9 +1,6 @@
1
- 失礼しました。ハッシュしなければうまく動くと、質問文に書いてありますね。
2
-
3
- ---
4
-
5
1
  こんにちは。
6
2
  初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所が、ちょっと怪しいです。
3
+ ハッシュされた値が、htmlspecialchars関数で加工されてしまっていませんか?
7
4
 
8
5
  htmlspecialcharsは、HTML出力するために利用するもので、使うのであればヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
9
6
  この関数をパスワード照合前に呼んでしまっていることで、パスワードなどのデータ自体を入力内容から加工してしまっている気がします。

2

修正

2015/12/08 05:25

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,5 +1,9 @@
1
+ 失礼しました。ハッシュしなければうまく動くと、質問文に書いてありますね。
2
+
3
+ ---
4
+
1
5
  こんにちは。
2
- 初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所が、まず怪しいです。
6
+ 初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所が、ちょっと怪しいです。
3
7
 
4
8
  htmlspecialcharsは、HTML出力するために利用するもので、使うのであればヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
5
9
  この関数をパスワード照合前に呼んでしまっていることで、パスワードなどのデータ自体を入力内容から加工してしまっている気がします。

1

改行

2015/12/08 05:24

投稿

hsk
hsk

スコア728

answer CHANGED
@@ -1,5 +1,7 @@
1
- こんにちは。
1
+ こんにちは。
2
2
  初っ端でPOST変数のsanitize(htmlspecialchars)を行っている箇所が、まず怪しいです。
3
+
3
4
  htmlspecialcharsは、HTML出力するために利用するもので、使うのであればヒアドキュメントの中や直近です。[http://qiita.com/mpyw/items/2f9955db1c02eeef43ea](http://qiita.com/mpyw/items/2f9955db1c02eeef43ea)
4
5
  この関数をパスワード照合前に呼んでしまっていることで、パスワードなどのデータ自体を入力内容から加工してしまっている気がします。
6
+
5
- POSTやGETされる値の安全な取得は、filter_input 関数を利用すると便利です。
7
+ POSTやGETされる値の安全な取得は、[filter_input](http://php.net/manual/ja/function.filter-input.php) 関数を利用すると便利です。