Pourquoi la vérification du mot de passe PHP échoue-t-elle en cas d'incompatibilité de hachage de mot de passe ?

PHP password_hash(), password_verify()

Dans votre script d'inscription, vous hachez correctement le mot de passe en utilisant password_hash() et le stockez dans la base de données. Cependant, lors de la vérification du mot de passe lors de la connexion à l'aide de password_verify(), vous rencontrez une incompatibilité.

L'extrait que vous avez fourni montre que le mot de passe stocké dans la base de données est haché (commençant par "$2y$10$") , alors que le mot de passe saisi par l'utilisateur est en texte brut (string(1) "1"). Le problème réside dans la façon dont vous récupérez le mot de passe de la base de données.

Dans le script de connexion, vous récupérez la colonne du mot de passe directement à partir du résultat de la base de données sans aucun autre traitement. Cependant, le mot de passe stocké est haché et il doit être déhaché avant de pouvoir être comparé au mot de passe en texte brut saisi par l'utilisateur à l'aide de password_verify().

Solution :

Dans le script de connexion, avant d'utiliser password_verify(), vous devez récupérer le mot de passe haché stocké dans la base de données, puis le déhacher à l'aide de la fonction password_hash() avec l'algorithme PASSWORD_DEFAULT. Voici le code corrigé pour le script de connexion :

<code class="php">// ...same code as before...

$stored_hash = $row['password']; // Retrieve the stored hashed password
if (password_verify($pwd, $stored_hash)) {
    // ...same code as before...
}</code>

Cette modification garantit que le mot de passe stocké dans la base de données est correctement non haché avant d'être comparé au mot de passe en texte brut saisi par l'utilisateur, permettant à password_verify() de fonctionner correctement.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!