При использовании password_verify достаточно любого пароля, почему?
прочитал все вопросы, которые я мог найти, связанные с этим, и все еще не могу найти полезный ответ (полезный для меня это).
Моя проблема в том, что я могу войти с любым паролем при использовании password_verify.
login_process.php
include_once("db.php");
if(!empty($_POST['login'])) {
// Escape variables
$input_username = mysqli_real_escape_string($connectdb, $_POST['username']);
$input_password = mysqli_real_escape_string($connectdb, $_POST['password']);
//Query to find username
$query = "SELECT id, username, password, email FROM usersdt091g WHERE username = '$input_username'";
$query2 = "SELECT password FROM usersdt091g WHERE username = '$input_username'";
$res = mysqli_query($connectdb, $query2);
$dbpass = mysqli_fetch_assoc($res);
$hash = $dbpass[0]['password'];
$result = mysqli_query($connectdb, $query);
$row = mysqli_fetch_assoc($result);
// Login ok = false, then render it true if conditions met
$login_ok = false;
if(password_verify($input_password, $hash))
{
// If they do, then we flip this to true
$login_ok = true;
}
// If login ok
if($login_ok = true)
{
// Session variables
$_SESSION['user'] = $row;
// Redirect user to secret page.
header('Location: blahalblal');
exit;
} else {
// Tell the user they failed
$errors[] = "<p>Login Failed MISERABLY!</p>";
}
}
?>
Изображение таблицы базы данных
Мой процесс регистрации выглядит следующим образом.
signup.php
<?php
include_once("db.php");
if(isset($_POST['signup']))
{
$username = mysqli_real_escape_string($connectdb, $_POST['username']);
$email = mysqli_real_escape_string($connectdb, $_POST['email']);
$password = mysqli_real_escape_string($connectdb, $_POST['password']);
$hash = password_hash($password, PASSWORD_DEFAULT);
if(mysqli_query($connectdb, "INSERT INTO usersdt091g (username, email, password) VALUES ('$username','$email','$hash')"))
{
$successs[] = "<p>Great Success, please login!</p>";
}
}
?>
Я мог бы использовать все и любую помощь,
Erik
Решение
Это будет всегда быть правдой:
if($login_ok = true)
Потому что результатом присваивания логического значения является само логическое значение. Вы, вероятно, хотели сравнить значение вместо назначать Это:
if($login_ok == true)
Другие решения
Это то, что я нашел работы, благодаря Дэвид Я убрал весь оператор сравнения. Я также удалил ненужный запрос. Чтобы получить как имя пользователя, так и пароль пользователя из базы данных, чтобы они соответствовали вводу, мне нужно было убедиться, что они совпадают. Иногда оставайся слепым, но да, сопоставь имя пользователя и пароль пользователя раньше $login_ok == true,
<?php
include_once("db.php");
if(!empty($_POST['login'])) {
// Escape variables
$input_username = mysqli_real_escape_string($connectdb, $_POST['username']);
$input_password = mysqli_real_escape_string($connectdb, $_POST['password']);
//Query to find username
$query = "SELECT id, username, password, email FROM users WHERE username = '$input_username'";
$result = mysqli_query($connectdb, $query);
$row = mysqli_fetch_assoc($result);
$userid = $row['username'];
$hash = $row['password'];
//var_dump($dbpassword[0]);
// Login ok = false, then render it true if conditions met
$login_ok = false;
if(password_verify($input_password, $hash) && $userid === $input_username)
{
// If they do, then we flip this to true
$login_ok = true;
}
// If login ok
if($login_ok == true)
{
// Session variables
$_SESSION['user'] = $row;
// Redirect user to secret page.
header('Location: portfolio_admin.php');
exit;
} else {
// Tell the user they failed
$errors[] = "<p>Login Failed MISERABLY!</p>";
}
}
?>