5

Estoy realizando un pequeño ejercicio en el cual hago un alta de usuarios a través de un formulario donde encripto la contraseña mediante la función password_hash(). Hay todo bien porque miro la base de datos y veo que ha guardado la contraseña encriptada. El problema esta en que no se como hacer el login verificando el hash ya que de la manera como lo tengo me genera otra contraseña y no inicia la sesión.

Código del formulario de registro:

<html>
    <head>
        <title>Registro de usuarios</title>
        <meta charset="utf-8">
    </head>
    <body>
        <h2>Registro de usuarios</h2>
        <form method="post" action="registroUsuarios.php">
            <label for="nombre">Nombre de usuario:</label>
            <input type="text" name="nombre"><br><br>
            <label for="correo">Correo:</label>
            <input type="email" name="correo"><br><br>
            <label for="pass">Contraseña:</label>
            <input type="password" name="pass"><br><br>
            <input type="submit" value="Enviar">
        </form>
    </body>
</html> 

Código donde doy de alta a los usuarios:

<?php
    require_once("BaseDatos.php");
    $objetoBBDD = new BaseDatos();

    if(empty($_POST["nombre"]))
        $nombre = "NULL";
    else
        $nombre = "'".$_POST["nombre"]."'";

    if(empty($_POST["correo"]))
        $correo = "NULL";
    else
        $correo = "'".$_POST["correo"]."'";

    if(empty($_POST["pass"]))
        $pass = "NULL";
    else
        $pass = "'".$_POST["pass"]."'";

    //esto es lo que he utilizado para encriptar
    $passCifrada = password_hash($pass,PASSWORD_DEFAULT);
    $passCifrada = "'".$passCifrada."'";

    $consulta = 'INSERT INTO usuarios(idUsuario,nombreUsuario,correo,password) VALUES(null,'.$nombre.','.$correo.','.$passCifrada.');';
    $objetoBBDD->consultarBD($consulta);

    if($objetoBBDD->filasAfectadas()>0)
    {
        echo '<h3><font color="green">Usuario registrado correctamente</font></h3>';
    }
    else
    {
        echo '<h3>'.$objetoBBDD->comprobarErrores().'</h3>';        
    }   
    echo '<a href="formularioRegistro.html"><button>Volver</button></a>';

    $objetoBBDD->cerrarConexion();
?>  

Código para comprobar los datos e iniciar la sesión:

<?php

    session_start();

    require_once("BaseDatos.php");
    $objetoBBDD = new BaseDatos();

    if(empty($_POST["nombre"]))
        $nombre = "NULL";
    else
        $nombre = "'".$_POST["nombre"]."'";

    if(empty($_POST["pass"]))
        $pass = "NULL";
    else
        $pass = "'".$_POST["pass"]."'"; 

    //esto es lo que no se hacer para comprobar el hash que ya tengo 
    $passCifrada = password_hash($pass,PASSWORD_DEFAULT);   
    $passCifrada = "'".$passCifrada."'";    

    $consulta = 'SELECT * FROM usuarios WHERE nombreUsuario='.$nombre.' AND password='.$passCifrada;
    $objetoBBDD->consultarBD($consulta);    
    $fila = $objetoBBDD->extraerFilas();

    if(strcmp($nombre,$fila["nombreUsuario"])==0 && strcmp($passCifrada,$fila["password"]==0))
    {
        $_SESSION["id"] = $fila["idUsuario"];
        echo '<h2><font color="green">Sesion iniciada</font><br><br>';
        echo 'Bienvenido '.$fila["nombreUsuario"].'</h2>';
    }
    else
    {
        echo '<h2><font color="red">Error al iniciar sesión</font></h2>'; 
        echo '<h3><font color="red">Nombre de usuario o contraseña incorrecto</font></h3>';
    }

    echo '<a href="loginUsuarios.html"><button>Volver</button></a>';

    $objetoBBDD->cerrarConexion();
?>  
DevMind
  • 5,025
  • 11
  • 29
  • 60
  • 2
    No relacionado con tu pregunta en sí, pero importante igualmente: lee sobre [inyección SQL](https://es.stackoverflow.com/q/10518/250) y [cómo evitarla en PHP](https://es.stackoverflow.com/q/18232/250); y también sobre los [peligros de XSS](https://es.stackoverflow.com/q/53591/250). El código que compartes es vulnerable a ese tipo de ataques y no debería usarse en entornos de producción. – Alvaro Montoro Feb 14 '18 at 18:33
  • 1
    Muchas gracias por el aporte, soy consciente de ello pero estas practicas las hago en local :) – DevMind Feb 14 '18 at 18:47
  • 1
    el problema de que los programas cifren las contraseñas es que el usuario puede hacer ingenieria reversa y oberner los valores de las clave, y contando que usuarios usan la misma clave para todos – JackNavaRow Feb 14 '18 at 19:08
  • 1
    El código que nos mostrar acá, te funcionaria para cuando a un password lo "encriptas" con una función de hash por ejemplo MD5 o SHA-256, en este caso la funcion "password_hash" utiliza bcript que es una función de derivación de claves, entre otras cosas lo que produce es que al aplicarla sobre un mismo texto no genera el mismo string de hash, por lo tanto te falla al buscar en la base preguntando por ese nombre de usuario y esa contraseña hasheada y debes hacerlo como @A.Palacio menciona en su respuesta. – Leonardo Cabré Feb 14 '18 at 19:29

2 Answers2

6

Contraseñas seguras

password_hash — Crea un hash de contraseña

El hash se genera de esta forma:

$password = password_hash($password, PASSWORD_DEFAULT);

password_verify — Comprueba que la contraseña coincida con un hash

Para comparar las contraseñas que has enviado por $_POST y el hash que se guardo en tu base de datos es de esta forma:

if (password_verify($password ,$fila["password"] )) {
    echo '¡La contraseña es válida!';
} else {
    echo 'La contraseña no es válida.';
}

Referencia:

http://php.net/manual/es/function.password-verify.php

A. Palacio
  • 1,261
  • 1
  • 7
  • 14
2

Deberias crear un metodo que compare dicho hash, Quizas deberias primero verificar que exista el usuario. y si existe, que compare dichos hash. Este es un ejemplo:

<?php
$esperado   = crypt('12345', '$2a$07$usesomesillystringforsalt$');
$correcto   = crypt('12345', '$2a$07$usesomesillystringforsalt$');
$incorrecto = crypt('apple',  '$2a$07$usesomesillystringforsalt$');

var_dump(hash_equals($esperado, $correcto));
var_dump(hash_equals($esperado, $incorrecto));
?>

Espero te ayude

Leonel
  • 826
  • 8
  • 20