Tema: Acceso con Hash
Ver Mensaje Individual
  #16 (permalink)  
Antiguo 13/11/2017, 11:07
karenlorenadg
 
Fecha de Ingreso: octubre-2008
Ubicación: Colombia
Mensajes: 448
Antigüedad: 15 años, 6 meses
Puntos: 2
Busqueda Respuesta: Acceso con Hash
Cita:
Iniciado por chivacker Ver Mensaje
Hola,
Primero tienes que saber 2 cosas sobre hash:
- No es reversible (en teoría)
- Los hash actuales no tienen el mismo valor sobre la misma entrada. Es decir, password_hash('1234', PASSWORD_BCRYPT) cada vez que lo ejecutes te va a dar un resultado diferente. No es como SHA.

Una vez comprendido eso el siguiente paso es entender el flujo de verificación de hash:
- Un usuario al registrarse te da una contraseña en texto plano
- Sobre esta contraseña aplicas algoritmo de hash que es el que guardas en BBDD asociado a su usuario
- Cuando el usuario hace login te da su nombre de usuario que es el que consultas sobre la BBDD
- Si el usuario existe tendrás el valor de su hash de contraseña.
- Verificas que el texto plano que te ha pasado sea equivalente al hash que tienes en BBDD
- Si es equivalente todo ok. Si no pues la contraseña está mal.

¿Cómo quedaría el código?

Código PHP: 
Ver original
  1. <?php
  2. session_start();
  3. ?>
  4. <?php
  5. require_once("conexion.php");
  6. ?>
  7. <?php
  8. $contador=0;
  9. if(isset($_SESSION["session_username"])){
  10.     // echo "Session is set"; // for testing purposes
  11.     header("Location: index.php");
  12. }
  13.  
  14. if(isset($_POST["login"])){
  15.     if(!empty($_POST['username']) && !empty($_POST['password'])) {
  16.  
  17.         $username=$_POST['username'];
  18.         $password=$_POST['password'];
  19.  
  20.         $query = mysql_query("SELECT * FROM loggeous WHERE '" . $username . "' = username LIMIT 1");
  21.  
  22.         $numrows = mysql_num_rows($query);
  23.         if($numrows != 0)
  24.         {
  25.             $row = mysql_fetch_assoc($query);
  26.             {
  27.                 $dbusername=$row['username'];
  28.                 $dbpassword=$row['password'];
  29.                 $dbnombre = $row['nombre'];
  30.                 $id = $row['cod_us'];
  31.                 $correo = $row['email'];
  32.                 $telefono = $row['celphone'];
  33.                 $tipo_usuario = $row['tipo_usuario'];
  34.                 $foto = $row['img_profile'];
  35.             }
  36.  
  37.             if(password_verify($password, $dbpassword))
  38.             {
  39.                 $_SESSION['session_username']=$username;
  40.                 $_SESSION['nombre_usuario'] = $dbnombre;
  41.                 $_SESSION['cod_us'] = $id;
  42.                 $_SESSION['email'] = $correo;
  43.                 $_SESSION['celphone'] = $telefono;
  44.                 $_SESSION['tipo_usuario'] = $tipo_usuario;
  45.                 $_SESSION['password'] = $password;
  46.                 $_SESSION['img_profile'] = $foto;
  47.                 /* Redirect browser */
  48.                 header("Location: index.php");
  49.             }else{
  50.                 $message = "La contraseña está mal";
  51.             }
  52.         } else {
  53.             $message = "El usuario no existe!";
  54.         }
  55.  
  56.     } else {
  57.         $message = "Todos los campos son requeridos!";
  58.     }
  59.  
  60. }
  61. ?>

Aún así tienes mucho código por mejorar pero eso te lo dará la experiencia.

Suerte con tu aplicación,
Un abrazo
Nada amigo, este ejemplo tampoco me cargó. Sigo sin entrar
__________________
Desarrollo de Aplicaciones de Escritorio, Sitios Web, Audio y Video en SISGUS