ユーザパスワードにbcryptを使用

Question

私はphpassのbcrypt機能を使用して自分のサイトのパスワードをハッシュしています。 これは実際には機能しません。 CheckPassword関数と比較しようとすると機能しません。私は、ハッシュを解読するために使用したすべての関数から出てくるすべての文字列を広範囲にデバッグし、bcryptによって生成されたハッシュがかなりランダムであるという結論に達しました。したがって、新しく生成された平文パスワードのハッシュは、自分のデータベース内のハッシュと決して一致しません。本当？もしそうなら、私はそれをどのように機能させるのですか？ソースコードはかなりシンプルです。

// when creating user 
<db insert code>$hash->HashPassword($_POST['password']); 

// when logging in 
return $hash->CheckPassword($user->password, $_POST['password']); 

Answer 1

編集：問題はあなたが間違った順序を持っている 、パスワード、そして保存されたハッシュを必要とします。

$check = $hasher->CheckPassword($password, $stored_hash); 

Source

この問題は、私が前に（下）言ったように保存されたハッシュは、したがって、あなたの間違った引数の順序は、故障の原因となります、比較するためのパスワードをハッシュする方法を決定するために使用されます。前から

回答：あなたはハッシュを復号化していない

、あなたは同じ方法で比較可能なデータをハッシュすることによって、それを確認してください。 BCryptハッシュには、ハッシュ、ソルト、ラウンド数が含まれているので、これをチェックする際に問題はありません。

ハッシュが決して同じではない理由は、塩が毎回異なるということです。これは、虹のテーブル攻撃から保護するためです。

私が知る限り、あなたの小切手は健全です。問題は他の場所になければならない。 $user->passwordに実際にハッシュが完全に含まれていることを確認していますか？ BCryptハッシュは60文字ですので、切り捨てられていないことを確認してください。