PHP を使用した暗号化されたパスワードの復号化

多くのアプリケーションは、password_hash などの暗号化アルゴリズムを使用してユーザー パスワードを安全に保存します。ただし、ログイン試行を検証するときは、入力されたパスワードを暗号化されて保存されたバージョンと比較することが重要です。

暗号化の問題

password_hash は、Bcrypt を使用しています。ウェイ ハッシュ アルゴリズム。つまり、暗号化されたパスワードを元に戻したり復号したりすることはできません。これは、データベースが侵害された場合でも、攻撃者がプレーンテキストのパスワードにアクセスできないようにするセキュリティ機能です。

解決策: パスワードの検証

ユーザー パスワードを検証するには、password_verify 関数を使用します:

if (password_verify('input_password', $encrypted_password)) {
    // Password matches!
} else {
    // Invalid password.
}

この関数は、入力されたパスワードと暗号化されたバージョンを比較し、一致する場合に true を返します。

SQL クエリの変更

SQL クエリにパスワードを入力し、パラメータ化を使用します:

$sql_script = 'SELECT * FROM USERS WHERE username=?';

これは、悪意のあるユーザーがアクセスするのを防ぐことで、SQL インジェクション攻撃から保護します。クエリを操作します。

Example

password_verify の使用例を示します。

$username = $_POST['username'];
$input_password = $_POST['password'];

$sql_script = 'SELECT * FROM USERS WHERE username=?';

if ($result = $conn->query($sql_script, $username)) {
    if ($user = $result->fetch_assoc()) {
        if (password_verify($input_password, $user['password'])) {
            // Login successful!
        } else {
            // Invalid password.
        }
    } else {
        // User not found.
    }
}