Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

3 Antworten

TheSnowGlobe

21.05.2022, 07:26

Irgendwo hast du da einen Verständnisknick. Wie du schon richtig schreibst, ist es unsinnig, einen neuen Hash mit neuem Salt zu generieren, da dann ein Vergleich immer scheitern würde. Aber du musst überhaupt nicht solch einen Aufwand betreiben, denn die password_verfiy()-Methode bringt bereits alles vorgefertigt mit. Einfach das vom Benutzer eingegebene Passwort und den in der Datenbank hinterlegten Hashwert rein, und die Methode liefert dir zurück, ob das passt. Das sieht dann bspw. so aus:

<?php

if(isset($_POST["username"]) && isset($_POST["password"])) {
    
    $mysqli1 = new mysqli($servername, $user, $pw, $db);
    $result = $mysqli1->query('SELECT id, password FROM user WHERE username = "'. $_POST["username"]. '"');    
    $row = $result->fetch_assoc()
    
    if ($row && password_verify($_POST["password"], $row["password"]) {
        echo "Login erfolgreich";
    } else {
        echo "Falsches Passwort oder Nutzername";
    }
    
    $mysqli1->close();
}

Wegen SQL-Injections und ein paar veralteten Konzepten so natürlich nicht einsetzen, aber das ist dir ja bewusst.

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

PC, Computer, Technik

21.05.2022, 03:09

Wenn du die password_hash-Funktion von PHP nutzt, wird intern automatisch ein zufälliger Salt generiert und mit in das Ergebnis eingebunden. Die password_verify-Funktion kann später den genutzten Salt wieder herauslesen und für die Prüfung einsetzen.

Fang also nicht damit an, das Rad neu zu erfinden, sondern nutze einfach nur diese beiden Funktionen. Weiteres dazu kannst du im Manual nachlesen.

jort93

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

PC, Computer, Technik

21.05.2022, 02:43

Ganz einfach, das salt Speicherst du in Klartext irgendwo zusammen mit dem gehashten Passwort in der Datenbank.

Das ist wichtig, weil sonst hätte jeder nutzer mit dem selben passwort den selben hash, und außerdem könnte man einen hash ohne salt auch zur verifizierung bei anderen seiten verwenden die auch keinen salt nutzen.

Hedhhdgtf

Fragesteller

21.05.2022, 02:49

Hmm,

Wie kann ich mir nur das Salt / PASSWORD_DEFAULT überhaupt anzeigen lassen von dem

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

jort93

21.05.2022, 02:56

@Hedhhdgtf

Der ist teil des strings der da ausgegeben wird.

Mehmen wir z.B.

$2a$12$/7xWmKeGbrSEtPrmUeUdTO9VInoB8nuFG2vqhSqYIHR9KQpJiJBDK

2a ist die bcrypt version, 12 die kosten die du eingestellt hast.

Dann die ersten 22 zeichen(16 byte), also /7xWmKeGbrSEtPrmUeUdTO, sind der salt, und 9VInoB8nuFG2vqhSqYIHR9KQpJiJBDK der hash.

Das ist das gute bei bcrypt, da ist im prinzip alles an informationen was du zum verschlüsseln und entschlüsseln brauchst bereits im hash enthalten.

Hedhhdgtf

Fragesteller

21.05.2022, 03:04

@jort93

also so oder gibts was besseres?

$salt = substr($hashed,0, -22);
echo $salt;

hier nochmal alles:

<?php
$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
$salt = substr($hashed,0, -22);
if(password_verify($password, $hashed)){
    echo $hashed;
    echo "<br> <br> ". $salt;
}
?>

jort93

21.05.2022, 03:13

@Hedhhdgtf

Vorallem ist das falsch. Das salt sind die ersten 22 zeichen nach dem letzen dollarzeichen.

Wenn du das salt unbedingt wissen willst, wofür auch immer, musst du das so oder so ähnlich machen, ja. Weiß aber nicht wofür du das willst, wenn du nicht gerade eine eigeneImplementation von bcrypt schreiben willst...

jort93

21.05.2022, 03:17

@Hedhhdgtf

Ich weiß halt nicht was du da komisches bauen willst...

Normal hashst halt das passwort, wenn man sich einloggen will packst du den hash und das eigegebene passwort in password_verify, Wenn das true ausgibt ist das Passwort halt richtig. Der hash enthält alle informationen, also sind keine weiteren Argumente bei der Verifizierung nötig.

Ähnliche Fragen

PHPSESSID Cookie nach reload löschen?

Hallo, ich habe ein Problem mit meinem php code. Immer wenn ich meine Login Seite öffne, mich anmelde, aber dann wieder zurück auf die login seite gehe kommt nur das:

funktioniert dann erst wieder wenn man manuell die cookies löscht. Wie kann ich es hinbekommen, dass die cookies automatisch bei einem reload der Seite wieder gelöscht werden? Danke schonmal

Ach ja hier ist noch der php code:

<?php
      if(isset($_POST['submit'])){
        $username = $_POST['username']; $password = $_POST['password'];
        if($username === 'admin' && $password === 'password'){
          $_SESSION['login'] = true; header('LOCATION:https://example.de'); die();
        } {
          echo "<div class='alert alert-danger'>Username and Password do not match.</div>";
        }
      }
?>

...zur Frage

SQL Code richtig?

Hier ist PHP Code, den ich geschrieben hab:

$connection = new mysqli("localhost", "...", "...", "...");
$username = $_POST['username'];
$email = $_POST['email'];
$password = $_POST['password'];
$time = time();
$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";
$connection->query($sql);
$connection->close();

Aber der sagt dann dass im SQL Code

$sql = "INSERT INTO User (Name, Email, Password, Created) VALUES ($username, $email, $password, $time)";

Ein Syntax Fehler ist.

Wo ist der Fehler?

...zur Frage

Uncaught Error: mysqli object is already closed was tun?

Ich habe diesen code auf meiner Strato webside bekommen.

Hier den code

//Code for Registration 
if(isset($_POST['signup']))
{
	$fname=$_POST['fname'];
	$lname=$_POST['lname'];


$result = $con->query("select id from users where fname='$fname'");
$row_count = $result->num_rows;
if($row_count>3)
{
	echo "<script>alert('Artikel befindet sich schon 3 mal in der Truhe');</script>";
} else{
$msg=mysqli_query($con,"insert into users(fname,lname) values('$fname','$lname')");
}
if($msg)
{
	echo "<script>alert('Erfolgreich Eingetragen');</script>";
}
}

...zur Frage

Unity Loginsystem mit PHP 500 Error?

Hallo, wisst ihr vielleicht warum dieser Code nicht funktioniert?

Ich habe einen Root Server mit MariaDB, PHP 8.2 und phpMyAdmin.

Das ist mein Servercode:

<?php

  $servername = "localhost";
  $username = "blabla";
  $password = "blabla";
  $dbname = "blabla";

  // variables submited by user
  $loginUser = $_POST["loginUser"];
  $loginPass = $_POST["loginPass"];

  // Create connection
  $conn = new mysqli($servername, $username, $password, $dbname);

  // Check connection
  if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
  }

  echo "Conected successfully, now we will show the users.<br><br>";

  $sql = "SELECT password FROM users WHERE username = " . $loginUser;
  $result = $conn->query($sql);

  if ($result->num_rows > 0) {
    // output data of each row
    while ($row = $result->fetch_assoc()) {
      if ($row["password"] == $loginPass) {
        echo "login Success";
      }
      else {
        echo "wrong credentials";
      }
    }
  }
  else {
    echo "Username does not exist";
  }

  $conn->close();
?>

Das ist mein Unity-Code:

void Start()
{
  // A correct website page.
  StartCoroutine(Login("testuser", "123456"));
}

IEnumerator Login(string username, string password)
{
  WWWForm form = new WWWForm();
  form.AddField("loginUser", username);
  form.AddField("loginPass", password);

  using (UnityWebRequest www = UnityWebRequest.Post("http://blabla/Login.php", form))
  {
    yield return www.SendWebRequest();

    if www.result != UnityWebRequest.Result.Success)
    {
      Debug.Logwww.error);
    }
    else
    {
      Debug.Logwww.downloadHandler.text);
    }
  }
}

In Unity bekomme ich folgende Fehlermeldung:

Und wenn ich auf das PHP-Dokument im Internet gehe:

Danke für eure Hilfe.

...zur Frage

Warum kommt bei Linux md5 hashen ein anderer Wert raus als online?

Wenn ich beispielsweise einegebe

"Password" | md5sum

Kommt ein anderer Hash raus, als im online Generator. Warum ist das so und wie kann ich dem entgegenwirken? Danke im Voraus.

...zur Frage

Wie kann ich den String hashen?

Ich code derzeit was in Java. Ich bekomme das Password als String vom User und hätte vorgehabt das bei der Registrierung dann mit diesem SQL command zu speichern:

String command = "INSERT INTO userdata(username, password)VALUES ('" + username + "', 'HASHBYTES('SHA2_256', "+user_password+")')";

Vorerst mal, Stimmt das so? Kann das funktionieren? Direkt in Java will ich den hash nicht generieren weil mir das unnötig aufwendig vorkommt.

Beim login habe ich vor den (schon gehashten) String des echten passwords mit dem hash der usereingabe des login passwords zu vergleichen. Doch wie mach ich das in SQL? Dass ich keine Daten in die Tabelle schreibe sondern nur verhashen lasse und dann den hash direkt zurückbekomme..

Vielen Dank im Voraus!

...zur Frage

PHP sicheres Login System?

Moin ich wollte mal nachfragen wie ich am besten ein Sicheres Login System schreibe um mich gegen Hacker usw. zu schützen. Ein paar tipps damit die Meldung von Google Chrome mit der Datenpanne nicht mehr erscheint wäre nett.

<?php


session_start();


$db = new mysqli('db5001853195.hosting-data.io', 'dbu588638', '***', 'dbs1522452');


$erg = $db->query("SELECT username, Mail, Passwort  FROM Anmelden");


while( $zeile = $erg->fetch_assoc() ){
    if($zeile["username"] == $_POST["username"] && $zeile["Passwort"] == md5($_POST["passwort"])){
        $_SESSION["username"] = $_POST["username"];
        echo $_SESSION["username"];
    }
}
?>

...zur Frage

Verbindung zur Datenbank checken - PHP?

Hi, ich hab folgende Funktion in einer Klasse dbConenction:

private mixed $connection;

public function __construct()
{
    return $this->connect();
}

private function connect()
{
    try {
        $host = "localhost";
        $username = "USER_NAME";
        $pwd = "PWD";
        $database = "DB_NAME";
        $this->connection = new mysqli($host, $username, $pwd, $database);

        if ($this->connection->connect_error) {
            throw new Exception("Connection to database failed. | " . $this->connection->connect_error);
        }
        return $this->connection;
    } catch (Exception $exception) {
        $this->connection = null;
        databaseErrorHandling($exception);
        return null;
    }
}

Die Verbindung zur Datenbank funktioniert auch, ich kann Queries ausführen. Doch mein Problem, wenn ich zum Beispiel den Username für die Datenbank ändere, soll eigentlich durch

if ($this->connection->connect_error)

eine Exception geworfen werden, weil die Verbindung ja nicht aufgebaut werden kann, da der Username falsch ist. Das Gleiche funktioniert auch nicht, wenn ich zum Beispiel das Passwort ändere. Hab in den Docs von PHP nachgelesen und dort haben die das genauso gemacht...

$servername = "localhost";
$username = "username";
$password = "password";

// Create connection
$conn = new mysqli($servername, $username, $password);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

Jemand eine Idee, warum das nicht funktioniert, so wie es funktionieren sollte :D, oder Verbesserungsvorschläge?

Danke für jede Hilfe!!!

...zur Frage

PHP MySQL Datenbank Verbindungsfehler?

syntax error, unexpected variable "$res" line 12

<?php
require_once ('connect.php'); 

   $con = mysqli_connect("127.0.0.1", "root", "jbujbujbu");
   mysqli_select_db($con, "test");
   if(isset($_POST["gesendet"]))
   $sql = "SELECT * FROM konzerte"
      . "'Datum'" . $_POST['date']
        . " 'Land = '" . $_POST['land']
      . " 'Stadt = '" . $_POST['stadt']

   $res = mysqli_query($con, $sql)
   or die(mysqli_error($con));
   $num = mysqli_num_rows($res);
   if($num > 0) {echo "<p>Ergebnis:<br></p>";
    echo "<p>";
echo $num;
echo "</p>";
}
else         echo "<p>Keine Ergebnisse<br></p>";

   mysqli_close($con);
?>

...zur Frage

$servername bei Domainfactory findex?

Hallo,

ich brauche um eine Verbindung mit der Datenbank(sql) $servername, $username und $password. $username und $password habe ich bereits jedoch scheitert es bei dem $servername.

Kann mir jemand helfen wo ich den bei Domainfactory finden kann ?

Mfg

...zur Frage

PHP/MySql wie überprüfen ob Nutzername bereits vergeben?

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

Ist dieser Code Safe?

Hallo, ich programmiere derzeit ein Login System in Unity mit PHP wollte fragen ob der Code Safe ist LG

    $email = $_POST["email"];
    $password = $_POST["password"];


    // Daten aus der Datenbank abrufen
    $sql = "SELECT * FROM users WHERE email = '$email'";
    $result = $conn->query($sql);


    if ($result->num_rows > 0) {


        $row = $result->fetch_assoc();


        $hashedPassword = $row["password"];
        
        if (password_verify($password, $hashedPassword)) {
            $errors[] = "0"; // Erfolgscode für erfolgreichen Login
        } else {
            $errors[] = "401"; // Fehlercode für ungültige Anmeldeinformationen
        }
    }else{
        $errors[] = "303";
    }

...zur Frage

Parse error: syntax error, unexpected ';' on line 22?



$conn = mysqli_connect($servwe,$dbname,$username,$password);


if(isset($_POST['submit'])){
    if(!empty($_POST['title']) && (!empty($_POST['beschreibung']) && (!empty($_POST['preis'])){



 
 
(line 22)        $title = $_POST ['title'];
        $beschreibung = $_POST['beschreibung'];
        $preis = $_POST['preis'];

ich hab diese fehlermeldung und ich weis nicht weiter weiß jemand vielleicht was da falsch ist

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen