Wysypane logowanie

Witam, mam dosyc spory problem z logowaniem. Tworze sobie mały projekt. Mam baze danych, rejestracje i index.php na którym jest logowanie. Logowanie jest przez formularz w index.php wysylany POSTem do login.php a nastepnie tam decyduje czy cofa do indexu z błędem czy rusza dalej do zalogowany.php. Po wprowadzeniu błędnych danych wyrzuca błędy, ale po wprowadzeniu poprawnych nie dzieje sie nic, dalej zostaje na indexie, nie zwraca błędów ani nie przenosi dalej.
Tyle czasu się z tym wczoraj męczyłem i nie doszedłem do niczego, dlatego zadaje to pytanie. Gdzie popełniam błąd? Baza to mysql. Hasło do konta wprowadzam na zasadzie przejścia do rejestracji i zhashowane hasło wklejam do tablicy uzytkownicy. Sprawdziłem wszystkie możliwości, nie wiem co jest nie tak. Wielkość liter przy bazie danych jest zachowana odpowiednio.
Jak wprowadzam odpowiedni nick to zwraca drugi błąd, a jak nie ma nicku w bazie to pierwszy - połączenie z bazą i $result->fetch_assoc() raczej jest okej, problem jest przy verify password - tak według mnie, ale jak go ugryźć nie mam pojęcia.

INDEX.PHP

<?php

	session_start();
	
	if ((isset($_SESSION['zalogowany'])) && ($_SESSION['zalogowany']==true))
	{
		header('Location: zalogowany.php');
		exit();
	}

?>
<!DOCTYPE html>

<html>
    <head>
        <meta charset="UTF-8">
        <title>Formularz rejestracji</title>
                   
    </head>
    <body>
               
        <div id=tytul>Logowanie i rejestracja<br/><br/></div>
        
        <a href="rejestracja.php">Rejestracja - załóż konto</a>
        <br/> <br/>
        
        <form action="login.php" method="POST">
            Login:<br/> <input type="text" name="login"/> <br/>
            Hasło:<br/> <input type="password" name="haslo"/> <br/> <br/>
            <input type="submit" value="Zaloguj"/>

        </form>
        
<?php
if(isset($_SESSION['blad']))	echo $_SESSION['blad'];
?>
        
    </body>
</html>

LOGIN.PHP

<?php

	session_start();
	
	if ((!isset($_POST['login'])) || (!isset($_POST['haslo'])))
	{
		header('Location: index.php');
		exit();
	}
        
require_once "database.php";

$conn = new mysqli($host, $user, $password, $db_name);

if ($conn->connect_errno!=0)
{
echo "Error: ".$conn->connect_errno;
}

else
{
$login = $_POST['login'];
$haslo = $_POST['haslo'];

$login = htmlentities($login, ENT_QUOTES, "UTF-8");

if ($result = $conn->query(
    sprintf("SELECT * FROM uzytkownicy WHERE NICK='%s'",
    mysqli_real_escape_string($conn, $login))))
{
    $ilu_userow = $result->num_rows;
    if ($ilu_userow>0)
    {
        $wiersz = $result->fetch_assoc();
        if (password_verify($haslo, $wiersz['HASLO']))
        {                
            $_SESSION['zalogowany'] = true;


            unset($_SESSION['blad']);
            $result->close();
            header('Location: zalogowany.php');
        }
        else {      
        $_SESSION['blad'] = '<p>Nieprawidłowy login albo haslo</p>';
        header('Location: index.php');
    }    
    
        }
    else {      
        $_SESSION['blad'] = '<p>Nieprawidłowy login albo haslo, wariant 2</p>';
        header('Location: index.php');
    }
    }
$conn->close();
}
?>

Ja swego czasu wrzucałem paczkę z logowaniem w php tu na forum, tylko nie pamiętam w którym temacie, a nie chce mi się szukać :)

@4michal: skoro uważasz, że problem leży w password_verify to może źle jest to hasło zapisywane? Pokaż plik rejestracji.

Wszystko się rozchodzi właśnie o ten kod.. bo podobne paczki znalazłem, poedytowałem pod siebie i nowe rozwiązanie śmiga jak szalone.
Boli mnie, że nie mogę sobie z tym poradzić i męczy mnie to straszliwie,bo już dużo za dużo czasu na to straciłem a dalej jestem w punkcie zero.
Odpalenie drugiego projektu od strzała 10 razy szybciej niż tego nie dało takiej satysfakcji jakbym to naprawił :)

Wyszukaj sobie przykłady gdzie masz walidacje danych od frontu i backendu, hashowanie hasła minimum sha256 i wyżej itp. to co masz jest mocno "robocze" ;)

leonpro778 napisał(a):

@4michal: skoro uważasz, że problem leży w password_verify to może źle jest to hasło zapisywane? Pokaż plik rejestracji.

rejestracja jeszcze nie wrzuca nic do bazy, wpisuje hasło a potem zwraca mi hash hasła, które umieszczam w bazie.
Na tej podstawie zrobiłem logowanie, które nie działa..
Testowałem takie rozwiązanie na działających projektach i tam działa <zły>

Haslo: <input type="password" name='pass'><br/><br/>
             <?php 
            if (isset($_SESSION['e_pass'])){
              echo '<div class="error">' .$_SESSION['e_pass'].' </div>';
              unset($_SESSION['e_pass']);
            }
            ?>
.
.
.

$pass_hash = password_hash($pass, PASSWORD_DEFAULT);

    // generowanie hasla
    echo $pass_hash; exit();

Moim zdaniem problem leży w zapisywaniu haseł do bazy. Ponieważ robisz to poprzez kopiuj + wklej (raczej nie będzie się Tobie chciało przepisywać znak po znaku hasowanego hasła) to tylko tutaj może być problem. Zrób sobie skrypt na sprawdzenie:

<?php
   $pass = 'password'; // tutaj wstaw hasło jakim próbujesz się zalogować
   $hash = 'blablabla'; // tutaj SKOPIUJ hasło z bazy danych w postaci hash
   if (password_verify($pass, $hash)) { echo 'OK'; }
?>

i zobacz czy pójdzie

leonpro778 napisał(a):

Moim zdaniem problem leży w zapisywaniu haseł do bazy. Ponieważ robisz to poprzez kopiuj + wklej (raczej nie będzie się Tobie chciało przepisywać znak po znaku hasowanego hasła) to tylko tutaj może być problem. Zrób sobie skrypt na sprawdzenie:

Kopiuj

<?php
   $pass = 'password'; // tutaj wstaw hasło jakim próbujesz się zalogować
   $hash = 'blablabla'; // tutaj SKOPIUJ hasło z bazy danych w postaci hash
   if (password_verify($pass, $hash)) { echo 'OK'; }
?>

i zobacz czy pójdzie

dzięki za podpowiedź. zrobiłem i.. działa, zwróciło OK.
przeciez to jest w takim razie nie możliwe

No, to teraz do $hash spróbuj wczytać hasło z bazy danych a login wpisz z "palca" :-)

P.s. Możesz pokazać bazę danych z rekordem tego użytkownika?

Prawdooidobnie w tabeli jest ustawione zbyt maly/za krótki VARCHAR. Ustaw na chocby 100 i sprawdz. Usun te tabele i ustaw na nowo. Jesli pole na haslo jest za krótkie a hash jest dluzszy to ucina haslo i osadza maksymalna dlugosc tego pola. Zamiast "statatata" bedzie "sratat"

No ale jeżeli skopiował tego hasha z bazy danych i wkleił do tego skryptu sprawdzającego to znaczy, że hasło jest tam dobre :)

Jeski tak zrobil jak piszesz to ok. Mam nadzieje ze nie wygenerowal tylko hasla ale skopiowal z bazy.W takim razie niech pokaze zrzut ekranu phpmyadmin tej tabeli. Tam wyciaga rekord hasla ale to pole jest z duzych liter. Moze to pomylka. Mlze ma z malych. Tylko domysly.

Autorze. Wez pousuwaj tam w tym warunku te sesje i przekierowania i daj exit('ok') i exit('blad');
Sprawdz tez dlugosc stringa po hshowaniu i wyciagnieciu z bazy.

echo strlen($hash_przed_zapisem);
echo strlen($hash_z_bazy);

baz już robiłem z 10. popołudniu sprawdzę czy jak dam varchara na np 255 przy haśle to coś zmieni, nie pamiętam jakie wartości tam ustawiałem.
Może błąd jest już po wykonaniu ifa z pass verify? Może ja słabo widzę? Bo po wpisaniu błędnego hasła czy loginu dobrze wyrzuca błedy, a po odpowiednim po prostu nie przerzuca na kolejną stronę.
Wszystkie takie trywialne błędy wyeliminowałem, wielkość liter w bazie i kodzie się zgadza 1:1.
Zastosuje się do tego varchara, zrobie najwyżej jeszcze jedną bazę i wrzuce wszystko co mam.

To co sie dzieje jak wpiszesz prawodlowe haslo i login

marchewa napisał(a):

To co sie dzieje jak wpiszesz prawodlowe haslo i login

No właśnie nic. Wpisuje prawidłowe i po submicie wraca na index z pustymi polami, nic więcej. Czyta baze, sprawdza hasło (Bo przecież inaczej odpowiednio zwraca dwa różne błędy).

A co masz w pliku zalogowany.php ???

leonpro778 napisał(a):

A co masz w pliku zalogowany.php ???

Jest isset czy zalogowany = true A wynikiem jest jakieś echo ok i opcja logout.
Ale próbowałem komentować ten isset i zostawiać samo echo ok i nic to nie dawało.

Zmienione haslo w bazie na varchar 255. Dodany na dole index.php print_r($_SESSION) który przy błędzie zwraca [blad] => opis bledu, a przy dobrym haśle zwraca Array()
Mistrzostwo świata, nie normalne rzeczy.

edit:
zmieniłem na

$ilu_userow = $result->num_rows;
    if ($ilu_userow>0)
    {
        $wiersz = $result->fetch_assoc();
        echo $wiersz;

i w login.php zwraca mi Array
Natomiast po wykomentowaniu $wiersz i dodaniu echo ok - działa.
Próbowałem też echo $ilu_userów i zwraca poprawnie 1 (przy dobrym loginie i haśle)

Bywa, bywa, najlepiej ogarnij jakieś IDE to będzie ci pokazywać błędy ;)

A mialem dopisac wczoraj zebys wlaczyl raportowanie błędów