Функция password_hash

На самом деле функция md5 и соление пароля с ее помощью считается устаревшим. Мы изучали ее, чтобы вы поняли дальнейший материал, а также потому, что вы можете столкнуться с этим, работая с чужими проектами.

Существует более совершенный способ получить соленый пароль. Для этого используется функция password_hash. Первым параметром она принимает строку, а вторым - алгоритм шифрования (о нем позднее), и возвращает хеш этой строки вместе с солью.

Попробуйте несколько раз запустите этот код:

<?php
	echo password_hash('12345', PASSWORD_DEFAULT);
?>

Вы каждый раз будете получать разный результат и в этом результате первая часть строки будет являться солью, а вторая часть - соленым паролем.

Пусть у нас есть хеш, полученный из функции password_hash и какой-то пароль. Чтобы проверить, это хеш этого пароля или нет, следует использовать функцию password_verify - первым параметром она принимает пароль, а вторым - хеш, и возвращает true или false.

Давайте посмотрим на примере:

<?php
	$password = '12345'; // пароль
	$hash = '$2y$10$xoYFX1mFPxBSyxaRe3iIRutxkIWhxGShzEhjYUVd3qpCUKfJE1k7a'; // хеш
	
	if (password_verify($password, $hash)) {
		// хеш от этого пароля
	} else {
		// хеш не от этого пароля
	}
?>

Что это дает нам на практике: мы можем не создавать в базе данных отдельное поле для хранения соли, не заморачиваться с генерированием этой соли - PHP все сделает за нас!

То есть получится, что в базе данных в поле password мы будем хранить соленый пароль вместе с его солью. При этом хешированный пароль будет иметь большую длину. Поэтому в базе данных нам нужно исправить размер поля с паролем и установить ее в 60 символов.

Теперь давайте поправим код регистрации. Вот то, что есть сейчас:

<?php
	function generateSalt()
	{
		$salt = '';
		$saltLength = 8; // длина соли
		
		for($i = 0; $i < $saltLength; $i++) {
			$salt .= chr(mt_rand(33, 126)); // символ из ASCII-table
		}
		
		return $salt;
	}
	
	$salt = generateSalt(); //  соль
	$password = md5($salt . $_POST['password']); // преобразуем пароль в соленый хеш
?>

С помощью password_hash мы сократим это до:

<?php
	$password = password_hash($_POST['password'], PASSWORD_DEFAULT);
?>

Аналогичным образом подправится код авторизации:

<?php
	$login = $_POST['login'];
	
	$query = "SELECT * FROM users WHERE login='$login'"; // получаем юзера по логину
	$res = mysqli_query($link, $query);
	$user = mysqli_fetch_assoc($res);
	
	if (!empty($user)) {
		$hash = $user['password']; // соленый пароль из БД
		
		// Проверяем соответствие хеша из базы введенному паролю
		if (password_verify($_POST['password'], $hash)) {
			// все ок, авторизуем...
		} else {
			// пароль не подошел, выведем сообщение
		}
	} else {
		// пользователя с таким логином нет, выведем сообщение
	}
?>

Переделайте вашу авторизацию и регистрацию на новые изученные функции.

Функция password_hash

Хеширование пароля на PHP

Добавление соли в регистрацию

Хеширование паролей в сидерах в Laravel

Параметры передаваемых функций в JavaScript

Инструкция return в JavaScript

Применение передачи функции параметром в JavaScript