Hey Leute, ich hashe hier(markiert): alle Passwörter von Usern die sich registrieren. Wenn ich diese jedoch beim Einloggen dehashen möchte(markiert): funktioniert password_verify() nicht, da diese bool(true) zurückgeben sollte - dies aber nicht tut. Weiß jemand warum?

PHP password_verify() function funktioniert nicht?

Hey Leute,

ich hashe hier(markiert):

Bild zum Beitrag

alle Passwörter von Usern die sich registrieren.

Wenn ich diese jedoch beim Einloggen dehashen möchte(markiert):

Bild zum Beitrag

funktioniert password_verify() nicht, da diese bool(true) zurückgeben sollte - dies aber nicht tut. Weiß jemand warum?

4 Antworten

dahlamanada

07.02.2018, 21:18

Okay es funktioniert jetzt. Das Speichervolumen des Passworts war zu kurz für den Hash. Danke für jede Hilfe. Das mit dem mysqli_real_escape_string() habe ich jedoch immer noch nicht ganz verstanden.

Babelfish

08.02.2018, 16:32

Okay es funktioniert jetzt. Das Speichervolumen des Passworts war zu kurz für den Hash.

Diesen möglichen Fehler hatte ich schon angemerkt.

Das mit dem mysqli_real_escape_string() habe ich jedoch immer noch nicht ganz verstanden.

mysqli_real_escape_string ist dafür da, Daten so aufzubereiten, dass man sie gefahrlos in einer Datenbank speichern kann. Es verändert also unter Umständen die Daten.

Da du das Passwort aber nie in die Datenbank schreibst, solltest du das Passwort also auch nicht mit mysqli_real_escape_string behandeln und unverändert hashen.

Du schreibst aber den Passwort-Hash in die Datenbank. Diesen solltest du dann schon mysqli_real_escape_string übergeben.

Kieselsaeure

07.02.2018, 18:39

Ganz einfach. Du manipulierst den input ja und schreibst den gefälschten wert in deine $Passwort variable.

Die ungewollte manipulation erfolgt durch deinen funktionsaufruf von mysqli_real_escape_string.

Du hast ein perfektes beispiel gebracht wie man es nicht tun sollte.

Übrigens ist der kommentar falsch. Eine hashfunktion ist immer eine einmalfunktion. Eine rekonstruktion des inputs ist ohne wörterbücher nicht möglich (und kann eigentlich auf den algorithmus bezogen auch nicht als rekonstruktion des inputs bezeichnet werden) und das ist auch so gewollt.

dahlamanada

Beitragsersteller

07.02.2018, 21:05

Ich weiß nicht genau was du meinst.

Wie würdest du mein Problem lösen?

Kieselsaeure

07.02.2018, 21:48

@dahlamanada

In dem du für password_verify den originalen post wert verwendest.

Warum entwickelst du überhaupt solche sicherheitskritischen bausteine wenn du mit den grundlagen noch garnicht vertraut bist..?

Das wird eines tages alles mal in einer katastrophe enden..

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, Technik, PHP

07.02.2018, 12:16

Was mir gleich auffällt ist, dass du für dein Passwort kein mysql_real_escape_string nutzen solltest – sowohl beim Speichern, als auch beim Vergleichen. Das Passwort wird ja nicht in der Datenbank gespeichert und da ist das unnötig bzw. kann sogar zu Fehlern führen.

Dagegen solltest du deinen generierten Password-Hash vor dem Speichern in der Datenbank schon mit mysql_real_escape_string behandeln.

Wenn du das gemacht hast und noch mal ein neues Passwort in der Datenbank gespeichert hast und es immer noch nicht klappt, musst du hat mal etwas debuggen. Teste zum Beispiel mal, ob in $row['Password'] auch wirklich der Password-Hash inkl. Salt und verwendetem Algo drin steht.

Woher ich das weiß:Berufserfahrung – Entwickle seit > 20 Jahren Anwendungen mit PHP.

dahlamanada

Beitragsersteller

07.02.2018, 21:01

meinst du so?

Zeile 6. $Username = $_POST['Username'];

Zeile 7. $Email = $_POST['Email'];

Zeile 8. $Password = $_POST['Password'];

Zeile 26. $hashedPassword = mysqli_real_escape_string($conn, password_hash($Password, PASSWORD_DEFAULT));

das funktioniert auch nicht

Isendrak

07.02.2018, 12:39

Wobei das mit mysql_real_escape_string aufs Passwort angewendet eher weniger ein Problem sein sollte (ausser, wenn seltsame Nebeneffekte zu befürchten sind...), da es sowohl beim Registrieren als auch beim Login durchgeführt wird.

Unnötig ist es aber trotzdem.

Babelfish

07.02.2018, 12:52

@Isendrak

Es könnte das Problem auftreten, dass sich bei verschiedenen PHP-Versionen das Verhalten von mysql_real_escape_string ändert und dann stimmt der Vergleich mit den Werten in der DB nicht mehr. Das lässt sich dann nachträglich auch nicht mehr beheben.

Hat zwar nichts mit dem aktuellen Problem zu tun aber besser ist es da kein unnötiges Risiko einzugehen. Wichtig ist es aber, mysql_real_escape_string für den Password-Hash anzuwenden, da je nach verwendeten Algo evtl. problematische Zeichen im Hash enthalten sein könnten.

Hinweis noch an dahlamanada: Pass auf, dass dein Passwort-Feld in der Datenbank groß genug ist (VARCHAR(255) sollte ok sein). Der Hash inkl. Salt und Algo wird meist deutlich länger als das Passwort selbst.

Kieselsaeure

07.02.2018, 18:45

@Babelfish

Meine empfehlung an der stelle wäre um zukunftsweisend problemen vorzubeugen die hash funktion zu nutzen mit statischer angabe vom algo und auf diesen password_* quatsch zu verzichten.

Warum von password_* abspringen? Du bist unflexibler und (sofern du keine angabe über den algorithmus angibst - den default verwendest) hast die gefahr, dass eines tages der standard algo geändert wird. Liest du die releasenotes nicht durch kannst du schlichtweg nicht alle versionen ohne anpassungen verwenden.

Übrigens ist von solchen sicherheitsrelevanten funktionen (password_*)zu erwarten das unsichere algorithmen mit der zeit entfernt werden. So und viel spass wenn du auch hier nicht wieder in den release notes nachliest. Der algo ist vermutlich wie üblich noch in php vorhanden und steht bereit, aber ist eben aus password_* rausgeflogen (nachvollziehbar, ist ja unsicher).

SabrinaDondic

07.02.2018, 11:52

ähm, falls Du wirklich einen Hash generierst, dann ist das eine OneWay-Funktion, man kann einen Hash nicht "dehashen", wie Du schreibst. Die einzige Möglichkeit ist, das eingegebene PW erneut zu hashen und diesen dann gegen den gespeicherten Hashwert zu vergleichen. Da ich auf die Schnelle nicht sehe, was "password_hash" und "password_verify" tatsächlich treiben, kann ich nur vermuten, dass Du das eingegebene Passwort direkt gegen den gespeicherten Hash vergleichst, und das kann nicht TRUE werden.

dahlamanada

Beitragsersteller

07.02.2018, 11:56

ein hash ist random. Also ist ein Vergleich mit dem Eingegebenen PW beim Login nicht möglich - da dieser logischerweise anders aussehen würde. Die funktion password_verify() encryptet ("dehashed") das vorher gehashte PW.

SabrinaDondic

07.02.2018, 12:13

@dahlamanada

Ein Hash ist nicht random, das ist ja gerade Sinn und Zweck eines Hashes, dass er bei gleicher Eingabe den gleichen Hash erzeugt.

Man speichert nicht das PW im Klartext, sondern Hash(PW). Hash ist eine OneWay- bzw. Trap-Funktion, d.h. die sollte sich hoffentlich nicht umkehren lassen. D.h. es gibt keine "DeHash"-Funktion, mit deren Hilfe sich das PW wieder in den Klartext rekonstruieren lässt à la

PW = DeHash(Hash(PW))

Die Prüfung bei eingegebenem PW kann immer nur Hash(PW) ?= Hash_Stored sein.

Isendrak

07.02.2018, 12:14

@dahlamanada

Ein Hash ist nicht "random". Nur der (sofern verwendete) "salt"...
Mit "password_verify" wird da nix "dehashed"... Es wird nur ein entsprechender Hash aus dem Passwort gebildet und dieser mit dem gespeicherten Hash verglichen.

Das ganze sollte in etwa so ablaufen:

<?php
$password = "password1";
$hash = password_hash($password, PASSWORD_DEFAULT);

//TODO: lorem ipsum dolor sit amet...

if(password_verify($password, $hash)){
    echo "password ok.";
}
else{
    echo "password not ok.";
}

Siehe auch: http://php.net/manual/de/function.password-hash.php und http://php.net/manual/de/function.password-verify.php.

dahlamanada

Beitragsersteller

07.02.2018, 20:57

@Isendrak

Dein Code funktioniert so wie er da steht.

Was ich aber nicht verstehe ist wenn ich den hash von "passwort1" der variable "$hash" übergebe, funktioniert das komischerweise nicht mehr :

<?php

$password = "password1";

$hash = '$2y$10$d5HzrcWYHUsBGo1FenP7neXw.Ehj8tCqkThHK2C3jal';

//TODO: lorem ipsum dolor sit amet...

if(password_verify($password, $hash)){

echo "password ok.";

}

else{

echo "password not ok.";

}

wieso ist das so und ist das vielleicht mein problem?

Ähnliche Beiträge

PHP Passwort Hash Abfrage?

Hallo zusammen,

Ich habe mich jetzt seit einigen Tagen mit dem hashen von Passwörtern und generell mit einem Loginsystem bei PHP und MySQL beschäftigt. Das einfache registrieren ohne das Passwort in einem Hashcode umzuwandeln hat perfekt funktioniert!

Jetzt habe ich es schon geschafft, dass das Passwort in einen Hashcode beim registrieren umgewandelt wird. Wenn ich mich einloggen will und den Hashcode NICHT über die Datenbank abfrage, sondern ihn direkt in die Datei schreibe, funktioniert das ganze an sich auch schon.

Jetzt zum Problem: Wenn ich jetzt aber versuche das eingegebene Passwort mit dem aus meiner Datenbank zu vergleichen, dann stimmen die Passwörter nicht überein und der Login schlägt Fehl!

Daraus lässt sich schließen, dass sich das gehashte passwort aus der Datenbank nicht richtig auslesen lässt! Aber ich verstehe nicht warum (?)

Hier nochmal der ganze Quellcode: http://pastebin.com/B0Z8yP7V

...zum Beitrag

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zum Beitrag

Uncaught Error: Call to a member function fetch() on bool in?

Kann mir jemand sagen, was ich falsch gemacht habe?

<section claas="container" id="products">
  <div class="row">
    <?php while($row = $result->fetch()): ?>
      <div class="col">
        <?php include 'card.php' ?>
      </div>
    <?php endwhile; ?>
  </div>
</section>

...zum Beitrag

PHP: SMTP-E-Mail kommt nicht an?

Hey, ich habe diesen PHP-Code für SMTP um E-Mails zu senden, aber er funktioniert nicht. Hat jemand eine Idee?

Code:

<?php
  use PHPMailer\PHPMailer\PHPMailer;
  use PHPMailer\PHPMailer\Exception;

  function sendMail($user_email, $user_name, $mailContent, $mailSubject, $emailAltBody = null) {
    include BASE_PATH . 'app/notifications/mail_templates/mail_style.php';
    $mail = new PHPMailer(true);

    try {
      $mail->SMTPDebug = 1;
      $mail->isSMTP();
      $mail->SMTPAuth = true;
      $mail->Host = 'text';
      $mail->SMTPSecure = 'ssl';
      $mail->SMTPAutoTLS = true;
      $mail->Username = 'text';
      $mail->Password = 'text';
      $mail->Port = 465;
      $mail->setFrom('text', 'text');
      $mail->addAddress($user_email, $user_name);
      $mail->isHTML(true);
      $mail->Subject = $mailSubject;
      $mail->Body = $emailBody;
      $mail->AltBody = $emailAltBody;
      $mail->CharSet = 'utf-8';
      $mail->send();

      return true;
    }
    catch (Exception $e) {
      return 'abc';
      return 'Message could not be sent. Mailer Error: '.$mail->ErrorInfo;
    }
  }

...zum Beitrag

PHP: Warum funktioniert das Login-Script mit 'password_verify' nicht?

Hallo an alle!

Ich habe ein Problem mit diesem Login-Skript. Es funktioniert einfach nicht, wenn ich das Passwort (password_hash()) mit password_verify überprüfen will. Ich habe schon alles mögliche, wie z.B. die DB-Verbindung und die SQL-Abfrage und das HTML-Formular geprüft, sowie gegoogelt, aber nichts passendes gefunden.

Kann mir jemand von euch sagen, weshalb der Login-Vorgang nicht funktioniert und immer das letzte else (E-Mail oder Passwort war falsch...) ausgegeben wird?

Code: https://pastebin.com/AG79v9Te

...zum Beitrag

c++ boolwert einfach ändern!?

Hey, ich wollte fragen ob jmd weis, wie man den Boolwert ganz einfach in einer Zeile ändern kann. Habe auch schon lang und fleissig gegoogelt, aber nichts gefunden. Also einfach kurz und knackig den bool wert umkehren, also halt aus true wird false und andersrum. Bis jetzt habe ich das immer folgendermaßen gemacht:

bool x = true;

if(x == true)

x = false

else

x = true

Hat auch so funktioniert, aber muss ich wirklich jedes mal, wenn ich einfach den Wert umkehren möchte, so eine if/else Abfrage machen?! Danke schonmal im vorraus

MfG

...zum Beitrag

PHP / MySQL: 'Unknown column in 'field list' error?

Guten Abend,

ich habe ab hier keine Ahnung mehr, warum es nicht funktioniert.

Also, ich habe eine Funktion in einer externen PHP-Klasse, wo man Sachen in MySQL-Datenbanken importieren kann. Die Funktion funktioniert auch, aber irgendwie nur mit Zahlen. Also, wenn ein Buchstabe im (HTML-)input ist, dann geht das nicht mehr und er haut solch einen Fehler raus:

Error: INSERT INTO datenbank(loginname, password, id) VALUES (test, test2, 12343)

Unknown column 'test' in 'field list'

Das ist die Funktion:

function update($query) {
  $conn = mysqli_connect(DB_SERVER , DB_USER, DB_PASSWORD, DB_DATABASE);

  if ($conn->query($query) === TRUE) {
    echo "Daten erfolreich eingetragen";
  }
  else {
    echo "Error: " . $query . "<br>" . $conn->error;
  }

  $conn->close();
}

...zum Beitrag

Hi ich habe ein sign up und login system für eine website mithilfe von xamp, mysqli und php gebaut, dass signup system mit error messages und allem funktioniert auch, aber das login system nicht. Wenn ich mich versuche einzuloggen passiert nichts und wenn ich absichtlich falsche login daten eingebe passiert ebenfalls nichts. Ich weiß nicht woran das liegt und bräuchte echt hilfe. Wenn jemand meinen Code braucht einfach bescheid sagen :/

...zum Beitrag

Mit welchem Hash oder Verschlüsselung sollte eine E-Mail Adresse in einer Datenbank gespeichert werden?

Hallo zusammen,

eine E-Mail Adresse soll in einer MySQL Datenbank gespeichert werden. Wie bei einem Kennwort sollte der Datensatz meiner Meinung nach auch bei einer E-Mail Adresse verschlüsselt in der Datenbank gespeichert werden.

Es handelt sich hierbei um eine Formulareingabe des Nutzers durch PHP und HTML. Programmiert wird demnach in PHP, für Passwörter gibt es die Methode PASSWORD_HASH - siehe http://php.net/manual/de/function.password-hash.php

Nun zu den Fragen:

Sollte man eine E-Mail, welche in einer Datenbank gespeichert werden soll, verschlüsseln, oder als Hashwert speichern?

Welche Verschlüsselung oder alternativ Hashwert (SHA-1, SHA-256, SHA-512, MD5 ...) sollte man für das sichere Speichern einer E-Mail Adresse verwenden?

Vielen Dank!

...zum Beitrag

Wie funktioniert diese Funktion in JS?

Hallo, ich verstehe die Funktion hier nicht:

function function1(a, b){

return a*(a<b)

+b*(b<=a);

Was genau macht das "a*(a<b)? Da würde doch zunächst mal True/False rauskommen oder? Also wenn a kleiner als b ist, True, und dann a* True?!?

...zum Beitrag

Java: Wie funktioniert dieser Primzahlengenerator?

public static List<Integer> generateNumbers(int border) {
  List<Integer> finalList = new ArrayList<>();
  boolean[] bool = new boolean[border];

  for (int i = 0; i < bool.length; i++) {
    bool[i] = true;
  }

  /////////
  for (int i = 2; i < Math.sqrt(border); i++) {
    if (bool[i] == true) {
      for (int j = (i * i); j < border; j = j + i) {
        bool[j] = false;
      }
    }
  }
  ////////

  for (int i = 2; i < bool.length; i++) {
    if (bool[i] == true) {
      finalList.add(i);
    }
  }

  return finalList;
}

Mir geht es vor allem um den Bereich, welcher in den ///////// drinnen liegt, wo ich die Nicht-Primzahlen herausfische. Kann mir jemand diese for-Schleife Schritt für Schritt erklären?

...zum Beitrag

python function while schleifen Problem?

def test():
  x = None
  while x != "False" or "True":
    x = input("True or False: ")
  for i in x:
    print("It is ")
    print(x, end="")
test()

Wieso funktioniert dieser Code nicht, das Problem liegt darin das man nicht mehr aus der while Schleife raus kommt.

...zum Beitrag

PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

...zum Beitrag

PHP Error durch require()?

Hi, ich raff grad gar nix mehr, ich hab eine PHP Klasse dbConnection, in der ich mit require ein php File (settings.php) einbinde. Das einbinden funktioniert auch, nur binde ich innerhalb von settings.php ein weiteres php File ein, functions.php. Das wiederrum funktioniert nicht. Ich weiß, meine Erklärung ist bissle kompliziert, daher hier der Code:

dbConnection.php

<?php

try {
    require dirname($_SERVER["DOCUMENT_ROOT"]) . "/php/settings/settings.php";
} catch (Throwable|mysqli_sql_exception $exception) {
    error_log(date("d.m.Y, H:m:s") . " | " . $exception . "\n\n", 3, "/hp/cz/aa/gf/www/domains/domain.com/php/logs/php-errors.log");
    header("location: /error/?error=500");
    exit();
}

class dbConnection
{
...
}

settings.php

<?php

try {
    date_default_timezone_set("Europe/Berlin");
    mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
    require dirname($_SERVER["DOCUMENT_ROOT"]) . "/php/functions/functions.php";
} catch (Throwable|mysqli_sql_exception $exception) {
    error_log(date("d.m.Y, H:m:s") . " | " . $exception . "\n\n", 3, "/hp/cz/aa/gf/www/domains/domain.com/php/logs/php-errors.log");
    header("location: /error/?error=500");
    exit();
}

hier die relevanten Pfade:

domain.com/php/classes/dbConnection.php

domain.com/php/settings/settings.php

domain.com/php/functions/functions.php

Der Fehler muss an der in settings.php Datei liegen, da ich schon einmal vor und nach dem require in settings.php ein die("hier"); gemacht habe und dabei als das die("hier"); VOR dem

require dirname($_SERVER["DOCUMENT_ROOT"]) . "/php/functions/functions.php";

"hier" ausgegeben hat, und NACH dem

require dirname($_SERVER["DOCUMENT_ROOT"]) . "/php/functions/functions.php";

mir angezeigt wurde, dass diese Seite nicht funktionieren würde. Komisch ist auch, dass der Fehler nicht aufgefangen wird, daher bin ich gerade etwas ratlos. Hoffe meine Frage ist verständlich, ansonsten gerne einfach nachfragen :)

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen