Хэширование пароля

@I_MRX_I · Регистрация: 29.04.2020

Студворк — интернет-сервис помощи студентам

Добрый день, сделал что бы при регистрации на сайте пароли хэшировались (md5), как при авторизации реализовать теперь проверку пароля? Помогите пожалуйста

Файл проверки при авторизации.

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
<?php
 
header('Content-Type: text/html; charset=utf-8');
setlocale(LC_ALL,'ru_RU.65001','rus_RUS.65001','Russian_Russia.65001','russian');
session_start();
 
 
if (isset($_POST['login'])) { $login = $_POST['login']; if ($login == '') { unset($login);} } 
 
if (isset($_POST['password'])) { $password = $_POST['password']; if ($password =='') { unset($password);} }
 
 
if (empty($login) or empty($password))
 
    {
    exit ("<body><div align='center'><br/><br/><br/><h3>Вы ввели не всю информацию, вернитесь назад и заполните все поля!" . "<a href='sessia.php'> <b>Назад</b> </a></h3></div></body>");
    }
    //если логин и пароль введены,то обрабатываем их, чтобы теги и скрипты не работали
    $login = stripslashes($login);
    $login = htmlspecialchars($login);
    $password = stripslashes($password);
    $password = htmlspecialchars($password);
 
 
    //удаляем лишние пробелы
    $login = trim($login);
    $password = trim($password);
    
    //Подключаемся к базе данных.
 
$dbdsn = "mysql:dbname=tourist;host=localhost";
$dbuser = 'root';
$dbpassword = '';
try {
    $db = new PDO($dbdsn, $dbuser, $dbpassword);
} catch (PDOException $e) {
    echo 'Подключение не удалось: ' . $e->getMessage();
}
 
//извлекаем из базы все данные о пользователе с введенным логином
$stmt = $db -> prepare("SELECT * FROM user WHERE login= :login");
    $stmt ->bindParam("login", $login);
    $stmt->execute();
    $myrow =$stmt->fetch(PDO::FETCH_ASSOC);
if (empty($myrow["password"]))
    {
    //если пользователя с введенным логином не существует
    exit ("<body><div align='center'><br/><br/><br/>
    <h3>Извините, пользователя с введенным логином не существует." . "<a href='sessia.php'> <b>Назад</b> </a></h3></div></body>");
    }
    else {
    //если существует, то сверяем пароли
    if ($myrow["password"]==$password) {
    //если пароли совпадают, то запускаем пользователю сессию
    $_SESSION['login']=$myrow["login"]; 
    $_SESSION['id']=$myrow["id"]; 
   header("Location:index.php"); 
    }
 else {
 
    //если пароли не сошлись
    exit ("<body><div align='center'><br/><br/><br/>
    <h3>Извините, введённый вами пароль неверный." . "<a href='sessia.php'> <b>Назад</b> </a></h3></div></body>");
    }
    }
    ?>

@Jewbacabra · 24.05.2021, 12:28

Сообщение от I_MRX_I

PHP
1
2
3
4
5
//если логин и пароль введены,то обрабатываем их, чтобы теги и скрипты не работали
$login = stripslashes($login);
$login = htmlspecialchars($login);
$password = stripslashes($password);
$password = htmlspecialchars($password);

Это тут не нужно. stripslashes на 99% не нужен, ~~htmlspecialchars~~ htmlentities нужен, но не тут, а непосредственно перед подставлением строки в html, но только в таком виде: htmlentities($str, ENT_QUOTES, 'UTF-8')

Сообщение от I_MRX_I

PHP
1
$stmt = $db -> prepare("SELECT * FROM user WHERE login= :login");

А вот использование подготовленных выражений это хорошо - именно так и надо поступать

Сообщение от I_MRX_I

сделал что бы при регистрации на сайте пароли хэшировались (md5)

А это не правильно.
Вот функция для хеширования, вот для проверки соответствия пароля хешу

@Jewbacabra · 27.05.2021, 21:59

Rkkk2, https://www.php.net/manual/ru/faq.passwords.php

Почему популярные хеширующие функции, такие как md5() и sha1() не подходят для паролей?

Такие хеширующие алгоритмы как MD5, SHA1 и SHA256 были спроектированы очень быстрыми и эффективными. При наличии современных технологий и оборудования, стало довольно просто выяснить результат этих алгоритмов методом "грубой силы" для определения оригинальных вводимых данных.

Из-за той скорости, с которой современные компьютеры могут "обратить" эти хеширующие алгоритмы, многие профессионалы компьютерной безопасности строго не рекомендуют использовать их для хеширования паролей.

@Jewbacabra · 27.05.2021, 22:10

Rkkk2, хоть с солью, хоть без соли НЕЛЬЗЯ использовать для хеширования паролей md5. Ибо современные вычислительные ресурсы способны этот md5 сломать.

@gogolik · 28.05.2021, 00:48

Комментарий модератора

Небезопасные решения не имеют права на жизнь. Все перепалки в лс.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	Установка Emscripten SDK (emsdk) и CMake на Windows для сборки C и C++ приложений в WebAssembly (Wasm) 8Observer8 30.01.2026 Чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. Система контроля версиями Git. . .	Подключение Box2D v3 к SDL3 для Android: физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .
Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .	Загрузка PNG с альфа-каналом на SDL3 для Android: с помощью SDL3_image 8Observer8 27.01.2026 Содержание блога SDL3_image - это библиотека для загрузки и работы с изображениями. Эта пошаговая инструкция покажет, как загрузить и вывести на экран смартфона картинку с альфа-каналом, то есть с. . .	Влияние грибов на сукцессию anaschu 26.01.2026 Бифуркационные изменения массы гриба происходят тогда, когда мы уменьшаем массу компоста в 10 раз, а скорость прироста биомассы уменьшаем в три раза. Скорость прироста биомассы может уменьшаться за. . .	Воспроизведение звукового файла с помощью SDL3_mixer при касании экрана Android 8Observer8 26.01.2026 Содержание блога SDL3_mixer - это библиотека я для воспроизведения аудио. В отличие от инструкции по добавлению текста код по проигрыванию звука уже содержится в шаблоне примера. Нужно только. . .

@Jewbacabra 4925 / 3920 / 1620 Регистрация: 24.04.2014 Сообщений: 11,441
	27.05.2021, 22:10
	Rkkk2, хоть с солью, хоть без соли НЕЛЬЗЯ использовать для хеширования паролей md5. Ибо современные вычислительные ресурсы способны этот md5 сломать. 0