Password_hash "enthashen"

UnknoenInnocent

Hallo, ich habe einen Regustriervorgang, bei dem das Passwort per password_hash verschlüsselt wird:

PHP

$password = password_hash(htmlspecialchars($_POST['password']), PASSWORD_DEFAULT);

Jetzt möchte ich aber beim Login das Passwort aus der Datenbank holen und mit dem eingegebenen Passwort vergleichen. Ich habe jetzt versucht, das Passwort einfach genauso zu verschlüsseln, das geht aber nicht. Was muss ich machen, um aus der verschlüsselten Form, wieder das Original zu machen oder andersherum, das neue Passwort genauso zu verschlüsseln, um die verschlüsselten Formen zu vergleichen?

Bandit

siehe http://de2.php.net/manual/de/function.password-verify.php

UnknoenInnocent

Der Link sieht zwar gut aus, bei mir kommt da aber immer invalides Passwort. Ich habe jetzt:

PHP

$hash = $user['password'];   //verschlüsseltes Passwort aus der Datenbank
$pass = htmlspecialchars($_POST['password']); //Passwort aus dem Eingabefeld      
if (password_verify($pass, $hash)) {        
   echo 'Valides Passwort!';      
} else {
   echo 'Invalides Passwort.';
}

Ich weiß jetzt leider nicht wieso das ganze nicht funktioniert.

Bandit

Ist das Datenbankfeld groß genug dimensioniert, um den Hash vollständig zu speichern? Und lass das htmlspecialchars bei Passwörtern weg.

basti1012

zeig doch mal wie du das verschlüsselt hast bevor es in der DB gespeichert wurde ?

UnknoenInnocent

Entschuldigt, ich war so dumm und habe die Zeichenzahl in der DB zu klein gehabt.... Trotzdem danke!

Arne Drews

Kommt $user['password'] aus der Datenbank?
Normalerweise fragt man das direkt nach der Query ab.

htmlspecialchars() hat an der Stelle auch nichts verloren.
Das wird maximal zur Ausgabe verwendet.

Password_hash "enthashen"

Tags

Benutzer online in diesem Thema