Profil von Meathor

Frage

20.06.2016, 11:58

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zur Frage

Antwort

von Meathor

21.06.2016, 08:19

Mit einem blick auf das hier:

$passwordhashed = mysql_query("SELECT password FROM user WHERE username='$username'");$passwordhashedstring = (string)$passwordhashed;

findet sich der Fehler schnell.

Du vergleichst hier das eingegebene Passwort mit der Result ID und nicht mit den PW aus der DB.

$arr_pw = mysql_fetch_array($passwordhashed);

$passwordhashedstring = $arr_pw[0];


 if(password_verify('password', $passwordhashedstring)) {

Sollte hier funktionieren wenn das PW in die DB Spalte gepasst hat.

Alternativ vergleich das ausgelesenen PW aus der DB mit dem gehaschten eingegebenen.

http://pastebin.com/eK2TL2Qa

mfg

...zur Antwort