bcrypt slaptažodis

Sveiki, pasidariau, kad narių slaptažodžius įrašytų bcrypt formatu. O kaip reikia padaryti, kad kai jungiesi jį "atšifruotu" ?

Čia login'as

<?php


session_start();


include('inc/conn.php');


$stmt = $pdo->prepare("SELECT * FROM users WHERE (`username` = :username) and (`password` = :password)");
$result = $stmt->execute(array(':username'=>$_POST['username'],':password'=> $_POST['password']));


 if (password_verify($password, $hash)) {

 		// KĄ RAŠYTI ČIA?

   } else {
       echo 'Neteisingas slaptažodis';
   }

$num_rows = $stmt->rowCount();

if ( $num_rows > 0) {

$_SESSION['username'] = $_POST['username'];

header('Location: ****.php');
}
else {

header('Location: login.php');
}

?>

pirmiausia tikrinti passwordą tik poto username? o nepagalvojai kad vėl įvestą pass galima encryptint ir lygint hashus? kažkaip čia turėtų būt savaime suprantama tokei dalykai...

Taip, hešavimas yra vienkryptis. Tu negali (ir neturi galėti) slaptažodžio atšifruoti – tada laikymas būtų nesaugus. password_verify() JAU patikrina, ar plaintext slaptažodis sutampa su tuo hashu.

Beje, tu negali lookup'inti DB su passwordu iškart, nes jis nėra užhešuotas ir nieko neras. Daryti reikia taip: susirandi TIK userį, pasiimi jo slaptažodžio hešą, tikrini su plaintextu naudodamas password_verify().

Taip, hešavimas yra vienkryptis.

Todėl man ir kitiems programuotojams, kuomet svetainė atsiunčia užmirštą slaptažodį, yra didžiausias siaubas.

Pvz. gmail'e turiu laišką iš ubl.lt, kuomet man atsiuntė mano slaptažodį. Pasižiūrėjus, kas darė Ūkio Banko lizingui svetainę:

http://www.nfq.lt/klientai-lietuvoje/

supranti, kad PHP "ploglamuotojai" yra #####. Bet paskui pagalvoji, jog nieko keisto - visi, gudresni už trečioką, ketvirtoje klasėje metė PHP ir likę PHP "ploglamuotojai" tėra vieni daunai. Nieko naujo.

Pvz. gmail'e turiu laišką iš ubl.lt, kuomet man atsiuntė mano slaptažodį. Pasižiūrėjus, kas darė Ūkio Banko lizingui svetainę:

http://www.nfq.lt/klientai-lietuvoje/

supranti, kad PHP "ploglamuotojai" yra #####. Bet paskui pagalvoji, jog nieko keisto - visi, gudresni už trečioką, ketvirtoje klasėje metė PHP ir likę PHP "ploglamuotojai" tėra vieni daunai. Nieko naujo.

Čia apie save?

Todėl man ir kitiems programuotojams, kuomet svetainė atsiunčia užmirštą slaptažodį, yra didžiausias siaubas.

 

Pvz. gmail'e turiu laišką iš ubl.lt, kuomet man atsiuntė mano slaptažodį. Pasižiūrėjus, kas darė Ūkio Banko lizingui svetainę:

http://www.nfq.lt/klientai-lietuvoje/

supranti, kad PHP "ploglamuotojai" yra #####. Bet paskui pagalvoji, jog nieko keisto - visi, gudresni už trečioką, ketvirtoje klasėje metė PHP ir likę PHP "ploglamuotojai" tėra vieni daunai. Nieko naujo.

Nemanai, kad UBL.lt kurtas kažkeno kito gali būt, o NFQ bendradarbiauja su UBL diegdami jų integraciją parduotuvėse?