Хранилище паролей PHP и MYSQL

Я собираюсь оставить вам пример того, как сохранить пароль безопасным методом password_hash(), я бы не стал применять ни md5один, так как есть страницы, где мы можем легко расшифровать пароли md5, например.

http://md5cracker.org/

Давайте посмотрим, как это работает. password_hash()Он создает новый хэш пароля, используя надежный алгоритм одностороннего хеширования. password_hash() совместим с crypt(). Поэтому хэши паролей, созданные с помощью crypt(), можно использовать с помощью password_hash().

//Obtenemos contraseña desde un form.
$contrasena = $_POST['contra'] ?: '';

//Encriptamos de manera segura la contraseña
$contrasena = password_hash(
                    base64_encode(
                        hash('sha256', $contrasena, true)
                    ),
                PASSWORD_DEFAULT
            );


//Sentencia SQL.
$stmt = $conexion->prepare("INSERT INTO tabla (password) VALUES (?)");

//Ligamos parametros marcadores.
$stmt->bind_param("s",$contrasena);

//Ejecutamos sentencia.
$stmt->execute();

//Cerramos sentencia.
$stmt->close();

Теперь мы видим, как мы можем проверить введенный пароль с помощью hash_equals.

hash_equals— Безопасное сравнение строк против атак по времени

$contrasena = $_POST['contra'] ?: '';    

//Encriptamos de manera segura la contraseña
$contrasena = password_hash(
                    base64_encode(
                        hash('sha256', $contrasena, true)
                    ),
                PASSWORD_DEFAULT
            );

//Sentencia SQL
$stmt = $conexion->prepare("SELECT password FROM tabla WHERE password = ?";

//Ligamos parametros marcadores.
$stmt->bind_param("s",$contrasena);

//Ejecutamos sentencia.
$stmt->execute();  

$stmt->store_result();
if($stmt->num_rows===1) {

    $stmt->bind_result($contrasenaBD);
    $stmt->fetch();
    $stmt->close();

   if (hash_equals($contrasena,$contrasenaDB) {
      //Hacemos algo.
   }        

} else { $stmt->close(); }

Пример к вашему второму вопросу.

if(isset($_REQUEST["login_pass"])){$login_pass = $_REQUEST["login_pass"];}else{$login_pass = "";}
require 'conexion.php';

$login_pass = "2000000";

$contrasena = password_hash(
    base64_encode(
        hash('sha256',$login_pass, true)
    ),
    PASSWORD_DEFAULT
);

//password_verify — Comprueba que la contraseña coincida con un hash, asique no debes volver a hashearla con password_hash.

$sql_in="SELECT LIDER_EXPLOIT FROM LIDERES WHERE LIDER_EXPLOIT ='".$contrasena."'";

$result = mysqli_query($conn,$sql_in);
$row=mysqli_fetch_array($result);

//Comprobación -> Contraseña -> OK
if (password_verify(
        base64_encode(
            hash('sha256', $login_pass, true)
        ),
        $row["LIDER_EXPLOIT"]
)) {

  echo 'es igual';
}
else
{
  echo 'no es igual';
}

На самом деле не рекомендуется сохранять пароль, который можно так легко расшифровать. Если в конце концов пароль можно взломать обычным способом, какой смысл держать его в зашифрованном виде?

Что обычно делается, так это сохранение зашифрованного пароля (например, с помощью MD5 или SHA1), а затем при сравнении сравниваемая строка записывается и сравнивается с зашифрованным паролем, который хранится в базе данных. Вы можете сделать это шифрование на уровне PHP или MySQL, используя функции MD5 или SHA1. Я оставляю вам ссылку, где они говорят об этой теме в конце: http://blog.aulaformativa.com/consultorio-desarrollo-web/

Как и пароль, он шифрует password_hashего и возвращает строку вида:

$2y$10$Wvx7Sdsbt7L7BiGC0QuxYeqQVaGSsTd.NxQ9JMAbMNOK6zic2WkaO

Существует функция сравнения, соответствует ли хэш паролю, введенному в виде обычного текста. password_verifyвозвращается TRUEили FALSE.

$hash = '$2y$10$Wvx7Sdsbt7L7BiGC0QuxYeqQVaGSsTd.NxQ9JMAbMNOK6zic2WkaO';

if(password_verify('123456', $hash)){
    echo 'Contraseña correcta.';
} else {
    echo 'Contraseña incorrecta.';
}

Доброе утро.

Что я делаю для шифрования паролей при сохранении их в MD5, я использую: $password = md5($_POST['password'])и для вставки я делаю:

insert into tabla values ($password);

Чтобы сделать запрос, я бы

select password from tabla where password = $password;

С тем, что они сказали мне, я смог собрать этот код:

Пароли я ввел уже хешированные, они уже такие есть в базе, сделал такой код:

require 'conexion.php';
$sql = "SELECT LIDER_NOMINA FROM LIDERES";
$result = mysqli_query($conn,$sql);
while ($row=mysqli_fetch_array($result))
{
  $sql_in="UPDATE LIDERES SET LIDER_EXPLOIT =
  '".password_hash(base64_encode(hash('sha256',$row["LIDER_NOMINA"])),PASSWORD_DEFAULT)."' WHERE LIDER_NOMINA = '".$row["LIDER_NOMINA"]."'";
  mysqli_query($conn,$sql_in);
}

Теперь я хочу сравнить пароли, например, 2000000. Я собрал код следующим образом:

if(isset($_REQUEST["login_pass"])){$login_pass = $_REQUEST["login_pass"];}else{$login_pass = "";}
require 'conexion.php';

$login_pass = "2000000";

$contrasena = password_hash(
    base64_encode(
        hash('sha256',$login_pass, true)
    ),
    PASSWORD_DEFAULT
);

$sql_in="SELECT LIDER_EXPLOIT FROM LIDERES WHERE LIDER_EXPLOIT ='".$contrasena."'";

$result = mysqli_query($conn,$sql_in);
$row=mysqli_fetch_array($result);
if (password_verify($contrasena,$row["LIDER_EXPLOIT"]))
{
  echo 'es igual';
}
else
{
  echo 'no es igual';
}

Но у меня не получилось, мне возвращается, что "это не то же самое", что я сделал не так?