ハッシングと塩が正しく比較されない

Question

塩漬けのハッシュをデータベースに保存できました。今私が直面している問題は、ログインするためにそれらを比較するように設定する方法です。ハッシュをもう一度作成する必要がありますか？そしてもし私がそれをもう一度作るのであれば、それは違うだろうか？今のチェックでは機能していると言われていますが、ハッシュされる前にパスワードでサインすることはできません。
次のコードは、IVEは、これまで試したものです：

$con = mysqli_connect($DB_HOST,$DB_USER,$DB_PASSWORD,$DB_DATABASE); 
if(!$con){ 
echo "Connection Error...".mysqli_connect_error(); 
} 
else 
{ 
//echo "Database connection Success..."; 
} 

$user_name =mysqli_real_escape_string($con, $_POST["login_name"]); 
$user_pass =mysqli_real_escape_string($con, $_POST["login_pass"]); 
$cost = 10; 
$salt = strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), '+', '.'); 
$salt = sprintf("$2a$%02d$", $cost) . $salt; 


$sql_query = "select user_name,user_pass from user_info where 
user_pass ='$user_pass' and user_name = '$user_name'"; 


$hash = crypt($user_pass, $salt); 
if(crypt($user_pass,$hash)==$hash){ 
echo "works"; 
$result = mysqli_query($con,$sql_query); 
if(mysqli_num_rows($result) >0) 
{ 
$row = mysqli_fetch_assoc($result); 
$name = $row["name"]; 
echo "Login Success..Welcome " .$name; 
} 
else 
{ 
echo "Login Failed.......Try Again.."; 

} 
} 

Answer 1

あなたのログインは常に...このクエリので

"select user_name,user_pass from user_info where 
user_pass ='$user_pass' and user_name = '$user_name'" 

を失敗します...ハッシュ化され保存されたパスワードに、ユーザーの入力したパスワードを比較します。

より良いアプローチがある：（パスワードを無視して）ログインユーザ名と

1. SELECT記録
2. レコードが見つからない場合、ユーザ名が存在しません。失敗
3. そのレコードのパスワードと送信されたパスワードを比較してください。
4. 一致しない場合は、パスワードが間違っています。失敗します。
5. ログインに成功しました。

PHPがこれをネイティブに提供する場合、独自のハッシングを実装しようとすると、あなたの人生は本当に困難になります。アカウント登録（ものと想定ユーザーは$clear_pwdを選んだ）でパスワードをハッシュするには：

$hash_pwd = password_hash($clear_pwd, PASSWORD_DEFAULT); 

これはあなたのために暗号化された安全な塩とハッシュを生成します。 $hash_pwdがDBに格納されます。今すぐログイン（パスワード確認）の手順3で、次のようにしてください：

if (password_verify($clear_pwd, $hash_pwd)){ 
    // $clear_pwd is correct 
}else{ 
    // password is incorrect. 
} 

シンプル！