Python/SQLite3では、データベーステーブルのクエリに使用する変数をどのように定義しますか？

Question

私は私の目的は、ログイン時に提供されたパスワードに基づいてユーザを認証するためにある3つの列

id username password 
    ---------------------- 
    1 Jdoe  $2a$12$sv97wrhscHkKVMZ8P/2yw.O/cz8pWUE/1zlTyFNJ9.jCYhR8Nw9Iu 
    2 user  $2a$12$dLeSlYFyPdP1WhA4Tw21ZuX5v5XH55.yK2XApMd4VglUDRJEd4Lmy 

を持つテーブルがあります。このようになりますこれを実現するために私が書いたPythonコード：私は既存のパスワードを入力したときに

from bcrypt import hashpw, gensalt 


if request.method == 'POST': 
     if form.validate() == False: 

     return render_template('login.html', form = form) 
     else: 
     #return render_template('index.html') 
     password = request.form['password'] 
     password = hashpw(password, gensalt()) 
     con = sql.connect("testDB.db") 
     cur = con.cursor() 
     cur.execute("SELECT * FROM mytable where password =?", (password,)) 

     if cur.fetchall(): 
       return "welcome guest" 
     else: 
       return "user not found" 

しかし、システムがメッセージ「が見つかりませんユーザー」を返します。希望の出力は、 "Welcome guest"というメッセージです。hashpwとgensalt()はbcryptからインポートされます。

私は間違って変数 "パスワード"を定義していると確信しています。どのようにしてそのような変数を適切に定義しますか？

Answer 1

あなたは完全に異なる塩を新しいハッシュ、1を生成している：

password = hashpw(password, gensalt()) 

あなたはパスワードでユーザーを検索することはできません。塩漬けされたハッシュを使用することの全ポイントは、ハッカーが虹のテーブル（共通のハッシュテーブルを使用することは不可能ですが、塩なし）をハッシュにマッチさせることです。これと同じ保護によって、特定のユーザーにどのような塩が使用されたかを知ることが不可能になり、新しい塩から別のハッシュを生成することがほぼ保証されます。

はその後、保存されたハッシュに対してしっかりテストにパスワードをbcrypt.checkpw()機能を尋ねる、塩漬けパスワードを取得、今をルックアップするためにユーザ名を使用する必要があります。ハッシュ値には塩が含まれ、bcryptは塩を抽出し、同じハッシュが生成されていることを検証するために使用します。比較にはタイミング攻撃から保護する必要がありますが、自分でこのチェックを再実装しないでください。パスワード欄がfarrrrr狭すぎに見える一見

from bcrypt import checkpw 


username = request.form['username'] 
password = request.form['password'] 
con = sql.connect("testDB.db") 
cur = con.cursor() 
cur.execute("SELECT password FROM mytable where username = ?", (username,)) 
hashed = cur.fetchone() 
if hashed is None or not checkpw(password, hashed[0]): 
    # no such user, *or* the password did not match 
    return "user not found" 

# password matched the hashed value from the database 
return "welcome guest"