Acceso con Hash

karenlorenadg · #1 (**permalink**) 10/11/2017, 12:06

Hola. tengo un sistema de login que encripté con hash pero no logro que me lea las contraseñas encriptadas.

Este es el codigo que me encripta la contraseña, funcion correctamente.

Código PHP:

  $a = $_POST['nombre'];

$b = $_POST['username'];

$c = $_POST['email'];

$d =password_hash($password, PASSWORD_DEFAULT, array("cost"=>12));

$e = $_POST['celphone'];

$f = $_POST['img_profile'];

$g = $_POST['tipo_usuario'];

Este es mi codigo de Login que no me funciona.

Código PHP:

  <?php

session_start();

?>

 

<?php 

require_once("conexion.php"); 

?>

<?php

 $contador=0;

if(isset($_SESSION["session_username"])){

// echo "Session is set"; // for testing purposes

header("Location: index.php");

}

 

if(isset($_POST["login"])){

 

if(!empty($_POST['username']) && !empty($_POST['password'])) {

 $username=$_POST['username'];

 $password=$_POST['password'];

 

$query =mysql_query("SELECT * FROM loggeous WHERE username='".$username."' AND password='".$password."'");

 

$numrows=mysql_num_rows($query);

 if($numrows!=0)

 

{

 $row=mysql_fetch_assoc($query);

 {

     

 $dbusername=$row['username'];

 $password=$row['password'];

 $dbnombre = $row['nombre'];

 $id = $row['cod_us'];

 $correo = $row['email'];

 $telefono = $row['celphone'];

 $tipo_usuario = $row['tipo_usuario'];

 $foto = $row['img_profile']; 

 }

 

if($username == $dbusername && $password == $password)

 

{

 

 $_SESSION['session_username']=$username;

 $_SESSION['nombre_usuario'] = $dbnombre;

 $_SESSION['cod_us'] = $id;    

 $_SESSION['email'] = $correo;    

 $_SESSION['celphone'] = $telefono;    

 $_SESSION['tipo_usuario'] = $tipo_usuario;   

 $_SESSION['password'] = $password;

 $_SESSION['img_profile'] = $foto;

    

       

 

/* Redirect browser */

 header("Location: index.php");

 }

 } else {

 

$message = "Nombre de usuario ó contraseña invalida!";

 }

 

} else {

 $message = "Todos los campos son requeridos!";

}

    

}

?>

sustentio · #2 (**permalink**) 10/11/2017, 13:14

los algoritmos de HASH son NO reversibles, por lo tanto, al momento de hacer login debes de aplicar el mismo algoritmo sobre la contraseña introducida por el usuario y comparar la salida de ambos HASH.

karenlorenadg · #3 (**permalink**) 10/11/2017, 13:40

Correcto, pero qué debo hacer, donde debo pponer y qué codigo? Soy novato

sustentio · #4 (**permalink**) 10/11/2017, 14:25

Cita:

Iniciado por karenlorenadg

Correcto, pero qué debo hacer, donde debo pponer y qué codigo? Soy novato

he sido bastante claro: al momento de hacer login debes de aplicar el mismo algoritmo sobre la contraseña introducida por el usuario y comparar la salida de ambos HASH

¿tan difícil es interpretar una instrucción?

karenlorenadg · #5 (**permalink**) 10/11/2017, 14:37

Cita:

Iniciado por sustentio

he sido bastante claro: al momento de hacer login debes de aplicar el mismo algoritmo sobre la contraseña introducida por el usuario y comparar la salida de ambos HASH

¿tan difícil es interpretar una instrucción?

Disculpa pero en verdad pido ayuda porque no conozco bien sobre el tema de hash, deberias ser un poco humilde en tus respestas o dejas que alguien mas con ganas de ayudar lo haga. No me mal interpetes pero es asi. Como dije conozoco poco del tema de hash por eso pido ayuda. El registro lo hice buscando en internet pero hasta el momento no he podido leer el login. Muchas gracias

Triby · #6 (**permalink**) 10/11/2017, 19:09

Código PHP:

Ver original// Cambia:
$password = $_POST['password'];
 
// Por:
$password = password_hash($_POST['password'], PASSWORD_DEFAULT, array("cost"=>12));

De esta forma, compararás el hash de la contraseña introducida por el usuario con el hash guardado en la base de datos.

karenlorenadg · #7 (**permalink**) 10/11/2017, 22:04

Cita:

Iniciado por Triby

Código PHP:

Ver original// Cambia:
$password = $_POST['password'];
 
// Por:
$password = password_hash($_POST['password'], PASSWORD_DEFAULT, array("cost"=>12));

De esta forma, compararás el hash de la contraseña introducida por el usuario con el hash guardado en la base de datos.

No amigo, no funciona, seguro que solo es cambiar ahii y listo?

sonystar_17 · #8 (**permalink**) 10/11/2017, 22:39

Tienes que usar

Cita:

password_verify() - Comprueba que la contraseña coincida con un hash

te lo puse en otro tema pero lo borrarían.

http://php.net/manual/es/function.password-verify.php

karenlorenadg · #9 (**permalink**) 11/11/2017, 07:32

Cita:

Iniciado por sonystar_17

Tienes que usar
te lo puse en otro tema pero lo borrarían.

http://php.net/manual/es/function.password-verify.php

hice esto pero tampoco me funciona, no se si es que lo estoy haciendo en el sitio equivocado. Me sale este error

Notice: Undefined variable: hash in C:\xampp\htdocs

Código PHP:

  if (password_verify('password', $hash)) {

    echo '¡La contraseña es válida!';

} else {

    echo '<center><h4>La contraseña no es válida.</h4></center>';

}

karenlorenadg · #10 (**permalink**) 11/11/2017, 09:08

Hice esto para ser mas exacto

Código PHP:

   
 
if(isset($_SESSION["session_username"])){

// echo "Session is set"; // for testing purposes

header("Location: index.php");

}

 

if(isset($_POST["login"])){

 

if(!empty($_POST['username']) && !empty($_POST['password'])) {

 $username=$_POST['username'];

 $password=$_POST['password'];

     

    

    

    if (password_verify('$password', $hash, array("cost"=>12))) {

    echo '¡La contraseña es válida!';

} else {

    echo '<center><h4>La contraseña no es válida.</h4></center>';

}

me sales este error

Notice: Undefined variable: hash in

Warning: password_verify() expects exactly 2 parameters, 3 given in

hhs · #11 (**permalink**) 11/11/2017, 10:10

Te sale ese mensaje porque en tu código no existe ninguna variable hash, necesitas adaptar el ejemplo a tu código.

karenlorenadg · #12 (**permalink**) 11/11/2017, 13:22

Correcto, pero es ahi el inconveniente que no sé cómo adaptarlo, he hecho muchas cosas y ningunas me ha funcionado. Ahi está mi codigo. ¿Qué debo hacer?

sonystar_17 · #13 (**permalink**) 11/11/2017, 23:43

mira este ejemplo y guíate

Código PHP:

Ver original$pass = '123456';
 
$hash = password_hash($pass, PASSWORD_BCRYPT);
 
if (password_verify($pass, $hash)) { 
   return true;
} else {
    return false;
}

chivacker · #14 (**permalink**) 12/11/2017, 12:34

Hola,
Primero tienes que saber 2 cosas sobre hash:
- No es reversible (en teoría)
- Los hash actuales no tienen el mismo valor sobre la misma entrada. Es decir, password_hash('1234', PASSWORD_BCRYPT) cada vez que lo ejecutes te va a dar un resultado diferente. No es como SHA.

Una vez comprendido eso el siguiente paso es entender el flujo de verificación de hash:
- Un usuario al registrarse te da una contraseña en texto plano
- Sobre esta contraseña aplicas algoritmo de hash que es el que guardas en BBDD asociado a su usuario
- Cuando el usuario hace login te da su nombre de usuario que es el que consultas sobre la BBDD
- Si el usuario existe tendrás el valor de su hash de contraseña.
- Verificas que el texto plano que te ha pasado sea equivalente al hash que tienes en BBDD
- Si es equivalente todo ok. Si no pues la contraseña está mal.

¿Cómo quedaría el código?

Código PHP:

Ver original<?php
session_start();
?>
<?php
require_once("conexion.php");
?>
<?php
$contador=0;
if(isset($_SESSION["session_username"])){
    // echo "Session is set"; // for testing purposes
    header("Location: index.php");
}
 
if(isset($_POST["login"])){
    if(!empty($_POST['username']) && !empty($_POST['password'])) {
 
        $username=$_POST['username'];
        $password=$_POST['password'];
 
        $query = mysql_query("SELECT * FROM loggeous WHERE '" . $username . "' = username LIMIT 1");
 
        $numrows = mysql_num_rows($query);
        if($numrows != 0)
        {
            $row = mysql_fetch_assoc($query);
            {
                $dbusername=$row['username'];
                $dbpassword=$row['password'];
                $dbnombre = $row['nombre'];
                $id = $row['cod_us'];
                $correo = $row['email'];
                $telefono = $row['celphone'];
                $tipo_usuario = $row['tipo_usuario'];
                $foto = $row['img_profile'];
            }
 
            if(password_verify($password, $dbpassword))
            {
                $_SESSION['session_username']=$username;
                $_SESSION['nombre_usuario'] = $dbnombre;
                $_SESSION['cod_us'] = $id;
                $_SESSION['email'] = $correo;
                $_SESSION['celphone'] = $telefono;
                $_SESSION['tipo_usuario'] = $tipo_usuario;
                $_SESSION['password'] = $password;
                $_SESSION['img_profile'] = $foto;
                /* Redirect browser */
                header("Location: index.php");
            }else{
                $message = "La contraseña está mal";
            }
        } else {
            $message = "El usuario no existe!";
        }
 
    } else {
        $message = "Todos los campos son requeridos!";
    }
 
}
?>

Aún así tienes mucho código por mejorar pero eso te lo dará la experiencia.

Suerte con tu aplicación,
Un abrazo

karenlorenadg · #15 (**permalink**) 13/11/2017, 11:05

Cita:

Iniciado por sonystar_17

mira este ejemplo y guíate

Código PHP:

Ver original$pass = '123456';
 
$hash = password_hash($pass, PASSWORD_BCRYPT);
 
if (password_verify($pass, $hash)) { 
   return true;
} else {
    return false;
}

Hola, tu ejemplo lo apliqué pero me devuelve al login.php en blanco no carga asolutamente ninguna info.

karenlorenadg · #16 (**permalink**) 13/11/2017, 11:07

Cita:

Iniciado por chivacker

Hola,
Primero tienes que saber 2 cosas sobre hash:
- No es reversible (en teoría)
- Los hash actuales no tienen el mismo valor sobre la misma entrada. Es decir, password_hash('1234', PASSWORD_BCRYPT) cada vez que lo ejecutes te va a dar un resultado diferente. No es como SHA.

Una vez comprendido eso el siguiente paso es entender el flujo de verificación de hash:
- Un usuario al registrarse te da una contraseña en texto plano
- Sobre esta contraseña aplicas algoritmo de hash que es el que guardas en BBDD asociado a su usuario
- Cuando el usuario hace login te da su nombre de usuario que es el que consultas sobre la BBDD
- Si el usuario existe tendrás el valor de su hash de contraseña.
- Verificas que el texto plano que te ha pasado sea equivalente al hash que tienes en BBDD
- Si es equivalente todo ok. Si no pues la contraseña está mal.

¿Cómo quedaría el código?

Código PHP:

Ver original<?php
session_start();
?>
<?php
require_once("conexion.php");
?>
<?php
$contador=0;
if(isset($_SESSION["session_username"])){
    // echo "Session is set"; // for testing purposes
    header("Location: index.php");
}
 
if(isset($_POST["login"])){
    if(!empty($_POST['username']) && !empty($_POST['password'])) {
 
        $username=$_POST['username'];
        $password=$_POST['password'];
 
        $query = mysql_query("SELECT * FROM loggeous WHERE '" . $username . "' = username LIMIT 1");
 
        $numrows = mysql_num_rows($query);
        if($numrows != 0)
        {
            $row = mysql_fetch_assoc($query);
            {
                $dbusername=$row['username'];
                $dbpassword=$row['password'];
                $dbnombre = $row['nombre'];
                $id = $row['cod_us'];
                $correo = $row['email'];
                $telefono = $row['celphone'];
                $tipo_usuario = $row['tipo_usuario'];
                $foto = $row['img_profile'];
            }
 
            if(password_verify($password, $dbpassword))
            {
                $_SESSION['session_username']=$username;
                $_SESSION['nombre_usuario'] = $dbnombre;
                $_SESSION['cod_us'] = $id;
                $_SESSION['email'] = $correo;
                $_SESSION['celphone'] = $telefono;
                $_SESSION['tipo_usuario'] = $tipo_usuario;
                $_SESSION['password'] = $password;
                $_SESSION['img_profile'] = $foto;
                /* Redirect browser */
                header("Location: index.php");
            }else{
                $message = "La contraseña está mal";
            }
        } else {
            $message = "El usuario no existe!";
        }
 
    } else {
        $message = "Todos los campos son requeridos!";
    }
 
}
?>

Aún así tienes mucho código por mejorar pero eso te lo dará la experiencia.

Suerte con tu aplicación,
Un abrazo

Nada amigo, este ejemplo tampoco me cargó. Sigo sin entrar

haggenx · #17 (**permalink**) 15/11/2017, 20:28

supongo que esta linea encripta tu password:
$d =password_hash($password, PASSWORD_DEFAULT, array("cost"=>12));

y con esta recuperas de tu bd el password (debe de estar encriptado para que funcione el truco)
$password=$row['password'];

ahora, cuando el usuario cree o cambie su password, guardalo en la bd (encriptado), luego cuando hagas la consulta compara si $d == $password, si son iguales puede pasar el usuario, de lo contrario muestrale un mensaje de error.

mortiprogramador · #18 (**permalink**) 17/11/2017, 18:10

Si ya se tiene funcionando la encriptación al guardar,
y el dato queda guardado ya encriptado en la bd,
¿por qué al loguearse no se usa lo mismo para el dato digitado?
Actualmente lo que se hace es recibir por post el dato,
y se va a hacer el query a la bd con el dato SIN encriptar,
y pues así jamás va a coincidir....

Por ende, no entrará a las demás condiciones,
y claramente, esta de más las condiciones de comparar usuario y password
nuevamente cuando el query a la base de datos ya lo hace.
¿Solución?
Encriptar el dato recibido por post del password,
y este dato encriptado si pasarlo a la consulta sql.

sustentio · #19 (**permalink**) 23/11/2017, 14:33

Cita:

Iniciado por karenlorenadg

Disculpa pero en verdad pido ayuda porque no conozco bien sobre el tema de hash, deberias ser un poco humilde en tus respestas o dejas que alguien mas con ganas de ayudar lo haga. No me mal interpetes pero es asi. Como dije conozoco poco del tema de hash por eso pido ayuda. El registro lo hice buscando en internet pero hasta el momento no he podido leer el login. Muchas gracias

Aquí el único que no sabe interpretar es usted, ¿y que tiene que ver la humildad en esto?, si no le gusta la verdad y se ofende ante cualquier critica cambíese de carrera, porque si no conozco un tema lo busco, no espero a que me lo dejen todo en bandeja, cuando me enteré del tema del HASH tampoco sabia aplicarlo ¿y que hice?: investigué y resolví mis dudas.