[SOLUCIONADO] al guardar mi contraseña encriptada no loguea

dairo65 · #1 (**permalink**) 03/06/2018, 16:03

Saludos colegas

tengo un sistema para recordar contraseña mediante correo, todo funciona muy bien hasta cuando guardo la contraseña encriptada y en mi bd.
ejemplo (1234)
en mi bd la guarda asi:

Código HTML:

Ver original$2y$10$5JuRPPJOjZ4l8zl7Vo9BHe2wN5mu5M44H5vxYBKRRMtervABBUhSO

pero al momento de loguear de nuevo esta contraseña ya no la reconoce el sistema.

este es mi guardar contraseña.

Código PHP:

Ver original<?php
    
    require 'conexion.php';
    require 'funcs.php';
    
    
    $id = $conexion->real_escape_string($_POST['id']);
    $token = $conexion->real_escape_string($_POST['token']);
    $password = $conexion->real_escape_string($_POST['password']);
    $con_password = $conexion->real_escape_string($_POST['con_password']);
    
    if(validaPassword($password, $con_password))
    {
        
        $pass_hash = hashPassword($password);
        
        if(cambiaPassword($pass_hash, $id, $token))
        {
        //  echo "Contrase&ntilde;a Modificada <br> <a href='/login.php' >Iniciar Sesion</a>";
            echo"<script type=\"text/javascript\">alert('Password modificado correctamente. '); window.location='/login.php';</script>";
            } else {
            
            echo "Error al modificar contrase&ntilde;a";
            
        }
        
        } else {
        
        echo 'Las contrase単as no coinciden';
        
    }
    
?>

alguien tiene idea de que pasa?
muchas gracias por sus amables comentarios

xfxstudios · #2 (**permalink**) 03/06/2018, 17:40

no se como la estas encriptando pues no lo colocas, y tampoco veo como la estas validado, pero podrías probar de esta manera:

Código PHP:

Ver originalif(password_verify($clave, $almacenada) ){
            //Continuo con el login
        }else{
//cancelo el login
}

dairo65 · #3 (**permalink**) 04/06/2018, 09:47

Cita:

Iniciado por xfxstudios

no se como la estas encriptando pues no lo colocas, y tampoco veo como la estas validado, pero podrías probar de esta manera:

Código PHP:

Ver originalif(password_verify($clave, $almacenada) ){
            //Continuo con el login
        }else{
//cancelo el login
}

saludos xfxstudios y gracias por responder aqui tengo la funcion, lo estoy trabajando com has_password

Código PHP:

Ver originalfunction verificaTokenPass($user_id, $token){
        
        global $conexion;
        
        $stmt = $conexion->prepare("SELECT activacion FROM registro WHERE id = ? AND token_password = ? AND password_request = 1 LIMIT 1");
        $stmt->bind_param('is', $user_id, $token);
        $stmt->execute();
        $stmt->store_result();
        $num = $stmt->num_rows;
        
        if ($num > 0)
        {
            $stmt->bind_result($activacion);
            $stmt->fetch();
            if($activacion == 1)
            {
                return true;
            }
            else 
            {
                return false;
            }
        }
        else
        {
            return false;   
        }
    }
    
    function cambiaPassword($password, $user_id, $token){
        
        global $conexion;
        
        $stmt = $conexion->prepare("UPDATE registro SET password = ?, token_password='', password_request=0 WHERE id = ? AND token_password = ?");
        $stmt->bind_param('sis', $password, $user_id, $token);
        
        if($stmt->execute()){
            return true;
            } else {
            return false;       
        }
    }

el problema viene al digitar la nueva contraseña si yo pongo 123456 no me carga la nueva contraseña cambiada pero si por ejemplo copia todo el token
$2y$10$5JuRPPJOjZ4l8zl7Vo9BHe2wN5mu5M44H5vxYBKRRMt ervABBUhSO , con este si inicio sesion normalmente

me podrías hacer una explicación pequeña de como es que debe encriptar.

osea el sistema toma los campos de contraseña y repetir contraseña de ahi que hace?

ocp001a · #4 (**permalink**) 04/06/2018, 12:00

Un sistema de contraseña por hash consiste básicamente en lo siguiente:

1. Al inicio, obtienes el hash de la contraseña y guardas dicho hash en la base de datos, digamos que tu contraseña es 123, el hash es h87f5yh8437h (es un ejemplo no real) y ésto es lo que guardas en la base de datos

2. Cuando el usuario quiere entrar, debe digitar 123, entonces en tu código generas el hash, te debería dar h87f5yh8437h

3. Comparas el hash generado contra el que tienes almacenado en la base de datos, si es igual el login es correcto.

dairo65 · #5 (**permalink**) 04/06/2018, 13:38

Cita:

Iniciado por ocp001a

Un sistema de contraseña por hash consiste básicamente en lo siguiente:

1. Al inicio, obtienes el hash de la contraseña y guardas dicho hash en la base de datos, digamos que tu contraseña es 123, el hash es h87f5yh8437h (es un ejemplo no real) y ésto es lo que guardas en la base de datos

2. Cuando el usuario quiere entrar, debe digitar 123, entonces en tu código generas el hash, te debería dar h87f5yh8437h

3. Comparas el hash generado contra el que tienes almacenado en la base de datos, si es igual el login es correcto.

aaa claro ahora entiendo mucho mejor, osea que en este caso yo debo poner lo que tu me dices en la hoja de inicio de sesion en osea en mi login.php.

por que en mi codigo solo esta un inicio de sesion normal asi:

Código PHP:

Ver original$result = mysql_query("SELECT * FROM registro WHERE email = '" . $_POST['email'] . "' 
            AND password = '" . $_POST['password'] . "' ");

y aqui es donde debo poner tu codigo?

Código PHP:

Ver originalif(password_verify($clave, $almacenada) ){
            //Continuo con el login
        }else{
//cancelo el login
}

estoy en lo cierto?

ocp001a · #6 (**permalink**) 04/06/2018, 15:14

Código PHP:

Ver original$result = mysql_query("SELECT * FROM registro WHERE email = '" . $_POST['email'] . "' 
                AND password = '" . $_POST['password'] . "' ");

Lo adecuado sería

Código PHP:

Ver original$result = mysql_query("SELECT * FROM registro WHERE email = '" . $_POST['email'] . "'  ");

Con esto, primero verificas si existe el usuario.

Luego, comparas el hash de la contraseña que haya tecleado el usuario con la que ya tienes en la tabla

Código PHP:

Ver originalif($hash!=$row['password'])
   //Login incorrecto

El uso de una función para hacer la verificación ya dependería de ti, aunque en lo personal no le veo mucho sentido.

Ah, y no olvides que debes sanitizar los datos de entrada, hacer una consulta así directamente puede permitir la inyección de código (sql injection)

dairo65 · #7 (**permalink**) 04/06/2018, 17:17

saludos

con lo que me dices de sanitizar es de pasarlo a mysqli?

asi lo deje

Código PHP:

Ver originalmysqli_select_db($conexion,"registro");
     mysqli_query($conexion, "SET CHARACTER SET utf8");
 $result = "SELECT * FROM registro WHERE email = '" . $_POST['email'] . "' AND password = '" . $_POST['password'] . "' ";
        
 $result = $conexion->query($result);

por otro lado no te he dado con el chiste del password que va en la variable $hash?

ocp001a · #8 (**permalink**) 04/06/2018, 17:35

Mysqli es sólo la versión actualizada de mysql.

Sigue siendo necesario sanitizar los datos de entrada, ya sea mediante consultas preparadas o bien mediante el uso de funciones como mysql_real_escape_string.

Por otra parte, como ya te indiqué:

Código PHP:

Ver original$result = "SELECT * FROM registro WHERE email = '" . $_POST['email'] . "' AND password = '" . $_POST['password'] . "' ";

Esta condición nunca se va a dar, salvo que dentro de la variable $_POST['password'] guardes el hash de la contraseña, y sólo funcionará si el usuario mete bien el usuario y la contraseña, si se equivoca en alguno no sabrás en cuál de los dos datos se equivocó.

1. Consulta los datos del usuario, si no existe el usuario devuelves el error, si existe, vas al paso 2

Código PHP:

Ver originalif(!mysql_num_rows($result = mysql_query("SELECT * FROM registro WHERE email = '" . $_POST['email'] . "'  "))
        die("No existe el usuario");

2. Obtienes el hash del password, no he leído detalladamente cómo lo haces, pero impleméntalo en este paso:

Código PHP:

Ver original$hash=obtenerHash($_POST['password']);

3. De la fila de datos obtenida de la tabla de usuarios compara la columna del hash del password guardado con el hash nuevo:

Código PHP:

Ver originalif($hash!=$row['password'])
    die('Error password incorrecto');

xfxstudios · #9 (**permalink**) 05/06/2018, 06:46

Podrías generar las claves con una funcion así:

Código PHP:

Ver originalfunction claveusuario($X){
        $salt = substr(base64_encode(openssl_random_pseudo_bytes('30')), 0, 22);
        $salt = strtr($salt, array('+' => '.'));
        $hash = crypt($X, '$2y$10$' . $salt);
        $claveB = $hash;
        return $claveB;
    }

Luego comparar la clave sería algo como:

Código PHP:

Ver original$db = new mysqli("host", "usuario", "clave", "base");
 
$usuario = $db->real_escape_string($_POST['usuario']);
$clave = $db->real_escape_string($_POST['clave']);
 
 
$a = $db->query("SELECT * FROM tabla WHERE usuario = '$usuario'");
$count = mysqli_num_rows($a);
 
 
if($count===1){
    $row = $a->fetch_object();
 
    if(password_verify($clave, $row->clave)){
        //Resto de tu codigo
    }else{
        //codigo de error
    }
}
    $a->close();
 
$db->close()

Recuerda utilizar MySQLI `para evitarte problemas con las últimas versiones de PHP y así estar al día, tambien para mantener la seguridad de tus datos.

dairo65 · #10 (**permalink**) 11/06/2018, 14:45

saludos y me disculpo por no poder contestar antes ya que he tenido mucho trabajo.

bueno lo modifique y lo deje asi pero no me carga mi sesion no se es que estoy haciendo mal.

Código PHP:

Ver original<?php
session_start();
 
 
class Usuarios{
    
    public function __construct(){  }
    
    public function login_in(){
 
 
 
     $conexion = mysqli_connect("localhost","root","","myopen");
     mysqli_select_db($conexion,"registro");
     mysqli_query($conexion, "SET CHARACTER SET utf8");
 
 
 
$email = $conexion->real_escape_string($_POST['email']);
$password = $conexion->real_escape_string($_POST['password']);
 
 
 
 
 $a = $conexion->query("SELECT * FROM registro WHERE email = '$email' ") or die ("no existe correo");
 
$count = mysqli_num_rows($a);
 
 
if($a===1){
    $row = $a->fetch_object();
    
 if(password_verify($password, $row->password)){
        //Resto de tu codigo
    
 
 
 
 
 
 
 
 
        
        if($row=mysqli_fetch_array($result)){
 
            $_SESSION["id"] = $row["id"];
            $_SESSION["horaAm"] = $row["horaAm"];
            $_SESSION["horaPm"] = $row["horaPm"];
            $_SESSION["HoraA"] = $row["HoraA"];
            $_SESSION["HoraP"] = $row["HoraP"];
            $_SESSION["diaA"] = $row["diaA"];
            $_SESSION["diaC"] = $row["diaC"];
        $_SESSION["email"] = $row["email"];
        $_SESSION["ciudad"] = $row["ciudad"];       
            $_SESSION["nombre"] = $row["nombre"];
            $_SESSION["n_empresa"] = $row["n_empresa"];
            $_SESSION["actividad"] = $row["actividad"];
            $_SESSION["dir"] = $row["dir"];
            $_SESSION["tel"] = $row["tel"];
            $_SESSION["password"] = $row["password"];
            $_SESSION["p1"] = $row["p1"];
            $_SESSION["p2"] = $row["p2"];
            $_SESSION["p3"] = $row["p3"];
            $_SESSION["p4"] = $row["p4"];
            $_SESSION["p5"] = $row["p5"];
            $_SESSION["mensaje"] = $row["mensaje"];
          
           
 
             
 
             
            
            $role = $row["privilegio"];
            
            switch($role){
                
                case 'prem':
                
                    header('location: 1/');
                    break;
 
                
                
                case 'admin':
                    header('location: admin/star.php');
                    break;
                    
                
                
            }
 
}else{
        //codigo de error/*echo "Usuario no existe en la base de datos...";*/
              echo  "<script type='text/javascript'>alert('Usuario no existe en la base de datos...');window.location.href = '../login.php';
                    </script>";
}
 echo   $a->close();
 
$conexion->close();
 
 
 
 
}
}
}
}   
 
 
?>

ya no me carga nada se deque la pagina en blanco y en consola si me envia el correo y el pass "123456" y en mi bd esta el password "$2y$10$VN93aZNqspC7mcLKjSFiE.bAHwbWb/49E9.orh6gFjyBqRFKEbXiy".

dios mio alguna idea de que tendré mal?

gracias por sus amables comentarios

tuadmin · #11 (**permalink**) 11/06/2018, 19:38

primero prubea que las SESSIONES estan siendo iniciadas correctamente, osea si se abre una pagina agregale una

Código PHP:

Ver original$_SESSION["test"]='123456';

y en la otra pagina

Código PHP:

Ver originalecho $_SESSION["test"]

asi vees si esta correcto,
ahora otra prueba, quita la funcion que encrypta la contraseña, para determinar si los datos son recibidos correctamente puede que no estes recibiendo la contraseña tal cual se registro en tu formulario de registro o en el formulario de login

dairo65 · #12 (**permalink**) 12/06/2018, 17:41

Cita:

Iniciado por tuadmin

primero prubea que las SESSIONES estan siendo iniciadas correctamente, osea si se abre una pagina agregale una

Código PHP:

Ver original$_SESSION["test"]='123456';

y en la otra pagina

Código PHP:

Ver originalecho $_SESSION["test"]

asi vees si esta correcto,
ahora otra prueba, quita la función que encripta la contraseña, para determinar si los datos son recibidos correctamente puede que no estes recibiendo la contraseña tal cual se registro en tu formulario de registro o en el formulario de login

saludos y gracias por responder.

si me esta imprimiendo la contraseña correctamente ya que en este string me la muestra correctamente.

Código PHP:

Ver originalecho $password = $conexion->real_escape_string($_POST['password']);

pero el problema viene cuando voy a cargar la session de admin/star.php por ejemplo
ya que digíto email y contraseña y no carga la session solo queda en blanco.

por otro lado estoy tratando de hacer la comparacion de la contraseña encriptada con la mia ejemplo

este es el codigo de verificacion

Código PHP:

Ver originalif(password_verify($password, $row->password)){

aqui digito mi contraseña

123456 la cual me la debería desencriptar en el siguiente código

$2y$10$VN93aZNqspC7mcLKjSFiE.bAHwbWb/49E9.orh6gFjyBqRFKEbXiy

pero el sistema no me reconoce la contraseña encriptada

ahora si copia todo el codigo $2y$10$VN93aZNqspC7mcLKjSFiE.bAHwbWb/49E9.orh6gFjyBqRFKEbXiy en la parte de contraseña este si ingresa normalmente

tuadmin · #13 (**permalink**) 13/06/2018, 14:28

Cita:

Iniciado por dairo65

saludos y gracias por responder.

si me esta imprimiendo la contraseña correctamente ya que en este string me la muestra correctamente.

Código PHP:

Ver originalecho $password = $conexion->real_escape_string($_POST['password']);

pero el problema viene cuando voy a cargar la session de admin/star.php por ejemplo
ya que digíto email y contraseña y no carga la session solo queda en blanco.

por otro lado estoy tratando de hacer la comparacion de la contraseña encriptada con la mia ejemplo

este es el codigo de verificacion

Código PHP:

Ver originalif(password_verify($password, $row->password)){

aqui digito mi contraseña

123456 la cual me la debería desencriptar en el siguiente código

$2y$10$VN93aZNqspC7mcLKjSFiE.bAHwbWb/49E9.orh6gFjyBqRFKEbXiy

pero el sistema no me reconoce la contraseña encriptada

ahora si copia todo el codigo $2y$10$VN93aZNqspC7mcLKjSFiE.bAHwbWb/49E9.orh6gFjyBqRFKEbXiy en la parte de contraseña este si ingresa normalmente

como te mencione quita todo lo refernte al HASH del password, y compara simplemente si el passsword enviado por formulario COINCIDE con el de la base de datos, eso te lo sugiero por que el error podria estar en otro lado, en el HTML de tu form.

antes de implentar el hASH y la sanitizacion de datos, procura que el sistema funcione. que haga el registro, que haga el LOGIN, y que exista la persistencia de la SESSION, una vez que compruebes ello, recien agrega la encriptacion de password, recien agrega la sanitizacion de datos y ya por ultimo cuando veas que todo funcione recien, puedes probar a la optimizacion de codigo

y tambien dale un vistazo a tus datos agregados a tu BASE DE DATOS de seguro tendras registros duplicados y demas, una tabla de usuarios no puede haber 2 usuarios con la misma email bueno eso depende de como lo diseñaste

dairo65 · #14 (**permalink**) 30/06/2018, 20:27

muchas gracias a todos por sus amables respuestas, ahora ya lo pude solucionar.