Error haciendo login con contraseña encriptada crypt

kahlito · #1 (**permalink**) 19/11/2015, 11:01

Hola.

Estoy haciendo un sistema de usuarios que al registrarlo le hago la encriptación a la contraseña de esta forma:

Código PHP:

Ver original<?php
if(isset($_POST["registrar"])){ 
    $usuario = $_POST["usuario"];
    $usuario = mysqli_real_escape_string($conexion, $usuario);
 
    $contrasena = $_POST["contrasena"];
    $contrasena = mysqli_real_escape_string($conexion, $contrasena);
    $hashFormat = "$2y$10$";
    $salt = "iusesomecrazystrings22";
    $hashF_and_salt = $hashFormat . $salt;
    $encript_password = crypt($contrasena, $hashF_and_salt);
    $contrasena = crypt($contrasena, $hashF_and_salt);
 
    //Lo envío como $contrasena a la base de datos. 
}
?>

Y luego al hacer el login entrada pues siempre me da error y no logro que coincidan las contraseñas.

Código PHP:

Ver original<?php
if(isset($_POST["login"])){ 
    $usuario = $_POST["usuario"];
    $usuario = mysqli_real_escape_string($conexion, $usuario);
 
    $contrasena = $_POST["contrasena"];     
 
    $query_password_e = "SELECT contrasena from usuarios "; 
    $query_password_e .= " WHERE usuario = '{$usuario}'";
    $buscar_contrasena_e = mysqli_query($conexion, $query_password_e);
    if($fila = mysqli_fetch_array($buscar_contrasena_e))
    {
        $db_contrasena = $fila['contrasena'];
        
        $input_password = crypt($contrasena, $db_contrasena);
        if($input_password == $db_contrasena){
            echo $input_password."<br>";
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }
    }   
}
?>

Siempre me da que no coindicen, incluso he probado de otras maneras pero nada.

¿Cómo podría solucionarlo? Saludos.

chronos682 · #2 (**permalink**) 19/11/2015, 12:02

Esto está mal

Código PHP:

Ver original$input_password = crypt($contrasena, $db_contrasena);

En vez de $db_contrasena tienes que pasarle el mismo $hashF_and_salt que usaste para almacenar la contraseña, la idea es encriptar ambas contraseñas con el mismo sistema para que coincidan.

AlejandraLara · #3 (**permalink**) 19/11/2015, 12:34

Igual, a partir de php 5.5 esta disponible password_hash y password_verify.

kahlito · #4 (**permalink**) 19/11/2015, 15:37

Cita:

Iniciado por chronos682

Esto está mal

Código PHP:

Ver original$input_password = crypt($contrasena, $db_contrasena);

En vez de $db_contrasena tienes que pasarle el mismo $hashF_and_salt que usaste para almacenar la contraseña, la idea es encriptar ambas contraseñas con el mismo sistema para que coincidan.

Hola chronos682, creo que incluso antes lo había probado y tampoco me sale, ahora pruebo con esta opcion y tampoco, creo que me estoy haciendo un buen lio.

Código PHP:

Ver originaliif(isset($_POST["login"])){    
    $usuario = $_POST["usuario"];
    $usuario = mysqli_real_escape_string($conexion, $usuario);
 
    $contrasena = $_POST["contrasena"];
    $hashFormat = "$2y$10$";
    $salt = "iusesomecrazystrings22";
    $hashF_and_salt = $hashFormat . $salt;
    
 
    $query_password_e = "SELECT contrasena from usuarios "; 
    $query_password_e .= " WHERE usuario = '{$usuario}'";
    $buscar_contrasena_e = mysqli_query($conexion, $query_password_e);
    if($fila = mysqli_fetch_array($buscar_contrasena_e))
    {
        $db_contrasena = $fila['contrasena'];
        
        $input_password = crypt($contrasena, $hashF_and_salt);
        if($input_password == $db_contrasena){
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }
 
        if($input_password == $hashF_and_salt){
            echo $input_password."<br>";
            echo $hashF_and_salt."<br>";
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";
            echo $hashF_and_salt."<br>";
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }
    }
}

Cita:

Iniciado por AlejandraLara

Igual, a partir de php 5.5 esta disponible password_hash y password_verify.

Hola AlejandraLara, he estado haciendo pruebas con las opciones que me explicas sin embargo acabo de ver que el servidor donde alojo la web actual tiene la versión php 5.4

Gracias por vuestra ayuda, ¿alguna otra recomendación o cambio?.

Saludos.

chronos682 · #5 (**permalink**) 19/11/2015, 15:52

Coloca estos dos echo antes del if y muestras qué imprimen en pantalla:

Código PHP:

Ver originalecho $input_password."<br>";
echo $db_contrasena."<br>";

PD: Acabo de probar tu código y funciona bien. Escribe lo que te reportan esos dos echos que te dije a ver cual es el problema.

kahlito · #6 (**permalink**) 19/11/2015, 16:36

Haciendo la prueba que me dices el resultlado que da creo que es el mismo que me daba antes dentro del if:

Código PHP:

Ver originalif(isset($_POST["login"])){ 
    $usuario = $_POST["usuario"];
    $usuario = mysqli_real_escape_string($conexion, $usuario);
 
    $contrasena = $_POST["contrasena"];
    $contrasena = mysqli_real_escape_string($conexion, $contrasena);
 
 
    $hashFormat = "$2y$10$";
    $salt = "iusesomecrazystrings22";
    $hashF_and_salt = $hashFormat . $salt;
    
 
    $query_password_e = "SELECT contrasena from usuarios "; 
    $query_password_e .= " WHERE usuario = '{$usuario}'";
    $buscar_contrasena_e = mysqli_query($conexion, $query_password_e);
    
    if($fila = mysqli_fetch_array($buscar_contrasena_e))
    {
 
        $db_contrasena = $fila['contrasena'];       
        $input_password = crypt($contrasena, $hashF_and_salt);
 
        echo $input_password."<br>";
        echo $db_contrasena."<br>";
 
        if($input_password == $db_contrasena){
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }
 
        if($input_password == $hashF_and_salt){
            echo $input_password."<br>";
            echo $hashF_and_salt."<br>";
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";
            echo $hashF_and_salt."<br>";
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }
    }   
}

Código PHP:

Ver originalecho $input_password."<br>";
        echo $db_contrasena."<br>";

Imprimen esto:
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL

Y los de dentro del if

Código PHP:

Ver originalif($input_password == $db_contrasena){
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "Coinciden<br>";
        }
        else{
            echo $input_password."<br>";            
            echo $db_contrasena."<br>";
            echo "No coinciden<br>";
        }

Imprimen esto:
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL
No coinciden

Gracias de nuevo.

chronos682 · #7 (**permalink**) 19/11/2015, 16:42

La que está mal es la de la BD, entonces lo más probable es que hayas definido el campo contrasena en la BD con menos de 60 caracteres y te esté truncando la misma.

kahlito · #8 (**permalink**) 19/11/2015, 17:13

Efectivamente, tenía el campo limitado solo a 50 caracteres, ahora después de ampliarlo a 60 todo coincide:

$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC

$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC
$2y$10$iusesomecrazystrings2uXsx3soVejCyS3zaEadMVL WICVz1nTfC
Coinciden

Ahora solo me falta retomar el envío para hacer el login y luego preparar la opción de edición con estos mismos métodos.

Muchas gracias por tu gran ayuda, saludos

kahlito · #9 (**permalink**) 20/11/2015, 07:13

Hola de nuevo.

El anterior problema va perfectamente, sin embargo ahora tengo otra duda o error que no logro solucionar.

Si lo hago de esta manera a la hora de editar:

Código HTML:

Ver original<form method="post" action="inc/confirmar-editar-usuario.php?id=<?php echo $id_usuario; ?>&usuario=<?php echo $usuario;?>" enctype="multipart/form-data" class="form">
<label>Contraseña: </label>
    <input name="contrasena" type="password" class="form-control" value="<?php echo $contrasena; ?>" placeholder="Introduce tu contraseña" required ><br>
<input type="submit" value="Editar" name="editar_usuario" class="submit">
</form>

Aquí en el formulario muestro la contraseña actual encriptada de la base de datos y cuando el usuario la cambia por otro pues la envía y la vuelve a encriptar y todo bien:

Código PHP:

Ver original$contrasena = $_POST['contrasena'];
//Encripto la contraseña para enviar a la base de datos.
    $hashFormat = "$2y$10$";
    $salt = "iusesomecrazystrings22";
    $hashF_and_salt = $hashFormat . $salt;
    $encript_password = crypt($contrasena, $hashF_and_salt);
    //Fin Encripto la contraseña para enviar a la base de datos.
 
 $query = "UPDATE usuarios SET ";        
        $query .="contrasena = '{$encript_password}' ";       
    $query .="WHERE id_usuario = {$id_usuario} ";
     //print_r($query);           
 
    $editar_usuario_query = mysqli_query($conexion,$query);

Hasta aquí todo bien, pero si el usuario no toca la contraseña se envía la contraseña actual que se muestra en el formulario (encriptada) y claro ya pierde el valor anterior enviando una nueva encriptada.

He probado suponiendo que el campo de la contraseña no se toca o vuelve a estar vacío y así enviaría el antiguo valor a la consulta, pero no me ha servido de nada:

Código PHP:

Ver original//Si el campo contraseña está vacío busco la anterior contraseña para enviar    
    if(empty($contrasena)){
        echo "Contraseña vacía";                
        $query_password_e = "SELECT contrasena from usuarios WHERE id_usuario = {$id_usuario}";         
        $buscar_contrasena_e = mysqli_query($conexion, $query_password_e);      
        //Si se encuentra la contraseña
        if($fila = mysqli_fetch_array($buscar_contrasena_e))
        {   
            $encript_password = $fila['contrasena'];                    
        }
    }
    //Fin Si el campo contraseña está vacío busco la anterior contraseña para enviar

También lo he intentado creando un campo alternativo, por ejemplo $input_contrasena; (variable sin encriptar que se guarda en la tabla en el campo input_contrasena) y cuando el usuario envíe la contraseña por primera vez al registrarse lo guarde sin encriptar. Luego cuando imprima los datos a la hora de editar lo recoge en el campo contraseña y muestra input_contrasena y así si el usuario no toca dicha contreña vuelve a enviar la contraseña correcta que luego se encriptará, pero claro eso parece que estoy creando de nuevo una contraseña desencriptada y no estoy seguro si es una buena práctica o hay alguna otra solución.

¿Se puede hacer de alguna de estas dos maneras o mejor cambiar a otra alternativa? Espero haberme explicado bien.

Saludos.

chronos682 · #10 (**permalink**) 20/11/2015, 10:08

En primer lugar quita el value del input en el formulario, no le veo la utilidad de poner la contraseña anterior en el text box, luego en el código php que recibe los datos del formulario debes colocar esto:

Código PHP:

Ver originalif (isset ($_POST['contrasena']) && !empty ($_POST['contrasena']))
{
//aqui todo el código para hacer el cambio de contraseña
}

kahlito · #11 (**permalink**) 20/11/2015, 13:55

Hola de nuevo chronos682

De esa forma que dices si me saldría ya que es la que suelo usar más, pero en este formulario la edición irá cargada con la contraseña anterior y otros campos también visibles y rellenos para cambiar, de ahí que lo quiera hacer de la manera que explico arriba poniendo la contraseña anterior en el campo contraseña.

Voy a seguir intentando otras maneras a ver si encuentro o me acerco a lo que busco.

Gracias de nuevo, saludos.

chronos682 · #12 (**permalink**) 20/11/2015, 14:04

Piensa que al poner la contraseña en el formulario cualquiera la podría ver, así este encriptada lo mejor es evitar todos esas situaciones que puedan volver vulnerable tu página.

kahlito · #13 (**permalink**) 20/11/2015, 14:33

Sí, llevas toda la razón.

De todas formas aunque lo vuelva a cambiar y lo ponga no visible puede que tenga que usarlo de la manera que cito en alguna otra ocasión, a ver si puedo aprender a hacerlo así, si es posible claro...

Gracias otra vez

kahlito · #14 (**permalink**) 26/11/2015, 13:42

Hola de nuevo.

Retomo este tema ya que creo que he vuelto a encontrar otra manera de hacer lo que me proponía a última hora.

Por ejemplo probando que si el campo actual de la contraseña es el mismo que la contraseña de la base de datos entonces quiere decir que no se ha tocado nada, por lo tanto no envío en la edición el campo contraseña para no cambiar nada.

Código PHP:

Ver originalif (strcmp($contrasena, $db_contrasena) == 0) {
                //echo 'Según strcmp las dos cadenas son iguales por lo tanto no se ha cambiado el campo contraseña.';
                $contrasena_nueva = NULL;
            }

Si al contrario el usuario ha puesto una nueva contraseña entonces si hago la edición con el campo contraseña, quedaría de esta manera.

Código PHP:

Ver original$contrasena = $_POST['contrasena'];
        $query_password_e = "SELECT contrasena from usuarios WHERE id_usuario = {$id_usuario}";         
        $buscar_contrasena_e = mysqli_query($conexion, $query_password_e);      
        //Si se encuentra la contraseña
        if($fila = mysqli_fetch_array($buscar_contrasena_e))
        {               
            $db_contrasena = $fila['contrasena'];
            //echo "La contraseña de la base de datos es: " . $db_contrasena ;                                      
            if (strcmp($contrasena, $db_contrasena) == 0) {
                //echo 'Según strcmp las dos cadenas son iguales por lo tanto no se ha cambiado el campo contraseña.';
                $contrasena_nueva = NULL;
            }
            else {
                //echo 'Según strcmp las dos cadenas NO son iguales, por lo tanto envío la nueva contraseña';
                //Encripto la nueva contraseña para enviar a la base de datos.
                $hashFormat = "$2y$10$";
                $salt = "iusesomecrazystrings22";
                $hashF_and_salt = $hashFormat . $salt;
                $contrasena_nueva = crypt($contrasena, $hashF_and_salt);
                //Fin Encripto la contraseña para enviar a la base de datos.
                
                //Hago la edición de la contraseña.
                $query_editar_contrasena = "UPDATE usuarios SET ";            
                $query_editar_contrasena .="contrasena = '{$contrasena_nueva}', ";
                $query_editar_contrasena .="fecha_contrasena = now() ";                  
                $query_editar_contrasena .="WHERE id_usuario = {$id_usuario} ";             
                $editar_contrasena_query = mysqli_query($conexion,$query_editar_contrasena);
                //Fin Hago la edición de la contraseña.             
            }
        }

Así en principio me va bien suponiendo que lo tengo que dejar así como edición o por si alguien me lo pide más adelante. De todas formas la opción más segura y fiable es como bien comenta chronos682 de no mostrar nada en el campo contraseña a la hora de editarla, para eso he decidido hacerlo de otra manera parecida a facebook donde al principio te muestra tres campos vacios donde tienes que completar anterior contraseña, nueva contraseña y repetir nueva contraseña.

Saludos