Cześć,
krótka piłka. Czym kodować(hashować) hasła? SHA1, MD5 czy połączenie tego?

http://pl1.php.net/manual/en/function.crypt.php
Im silniejsze tym lepsze, i nie na pewno wymienione przez Ciebie

PHP ≥ 5.5: http://www.php.net/manual/en/function.password-hash.php
PHP < 5.5: https://github.com/ircmaxell/password_compat

bcrypt (Blowfish):

Dla PHP >= 5.5.0:
password_hash
password_verify

A jak mam zrobić, żeby mi nie kodowało 2 różnych haseł?

[PHP] pobierz, plaintext 
$register->bindValue(":haslo",  crypt($haslo), PDO::PARAM_STR);
$register->bindValue(":haslo2", crypt($haslo2), PDO::PARAM_STR);
[PHP] pobierz, plaintext 

Pole bazie `haslo`->> $1$e0/.PG/.$lNIJVk/qR9OqR4wpBSSPG.
Pole bazie `haslo2`->> $1$s.1.FU2.$kCGONs2fi9OHh39B8QxUO0

Co zrobić, by w haslo2 było takie same hasło jak w haslo?

Byle nie md5 i koniecznie hasła z solą.
Ja polecam dla każdego usera tworzyć czas rejestracji w timestamp i zapisywać to userowi jako sól do hasła. W ten sposób każdy user ma inną sól.

[PHP] pobierz, plaintext 
$crypted = crypt($haslo);
 
$register->bindValue(":haslo",  $crypted, PDO::PARAM_STR);
$register->bindValue(":haslo2", $crypted, PDO::PARAM_STR);
[PHP] pobierz, plaintext 

Zresztą to jest bez znaczenia, mogą być różne - w czym problem? No i po co Ci haslo i haslo2 w bazie?

Powiem Ci, że w zasadzie ja zapisuję datę rejestracji w datetime, przez co mam datę i godzinę rejestracji w jednym polu. Btw. to dobrze, że tak jest? A jeśli chodzi o takie połączenie daty w sól to mógłbyś podać jakiś mały przykład?



W zasadzie to nie wiem po co ja jes zapisuje, przecież wystarczy tylko jedno.

Wiele algorytmów ma wbudowaną obsługę soli, która jest zapisana w zwracanym hashu. Dlatego pomimo puszczenia tego samego stringa (hasła) poprzez takie funkcje jak password_hash, wyniki są różne.

A jak ja mam to hasło odkodować?

[PHP] pobierz, plaintext 
$crypted_login = crypt($_POST['haslo']);
$login = $db->prepare("SELECT `nick`, `haslo` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$login->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$login->bindValue(":haslo",  $crypted_login, PDO::PARAM_STR);	
$login->execute();
 
$idlogin = $db->prepare("SELECT `id` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$idlogin->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$idlogin->bindValue(":haslo",  $crypted_login, PDO::PARAM_STR);	
$idlogin->execute();
[PHP] pobierz, plaintext 

hashu sie nie odkodowuje tylko koduje hasło, ktore podaje user i sprawdza czy hashe sie zgadzają.

[PHP] pobierz, plaintext 
if ($login->rowCount() == 1) 
{						
...
}
if ($idlogin->rowCount() == 1) 
{
...
}
[PHP] pobierz, plaintext 

Takie warunki mam do kodów powyżej. Więc jak mam sprawdzić czy jest takie samo. Nie rozumiem za bardzo tego.

No to mam tak:

[PHP] pobierz, plaintext 
$pass_crypt = crypt($_POST['haslo']);
$login = $db->prepare("SELECT `nick`, `haslo` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$login->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$login->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
$login->execute();
 
$idlogin = $db->prepare("SELECT `id` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
$idlogin->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
$idlogin->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
$idlogin->execute();
[PHP] pobierz, plaintext 

i nadal nie loguje mi do konta.

Polecam http://php.net/manual/pl/function.crypt.php

Tyle mi zwraca:

1. Próba logowania:

[PHP] pobierz, plaintext 
string(5) "Kerth" string(34) "$1$5g..oE..$xKTUYQsNnm1RFq.SNdTvp0"
[PHP] pobierz, plaintext 

2. Próba logowania:

[PHP] pobierz, plaintext 
string(5) "Kerth" string(34) "$1$R73.GT/.$TcoBKLZYo3iJHm2Y0N4K61"
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
var_dump($_POST['nick']);
var_dump($pass_crypt);
[PHP] pobierz, plaintext 

nick jest w porządku tylko z hashem problemy. Ono za każdym razem wyświetla się inne(nie zgadza się z tym w bazie). Przy każdej próbie logowania inne.

Hasło w bazie:

$1$ZC3.uB/.$SQbz8cHGDUL1N9FMbujXP1

Powtarzam: przeczytaj manuala, bo nie tak się sprawdza czy użytkownik podał prawidłowe "hasło" w przypadku crypt.

W manualu dla pasword_hash jest link do odpowiednika funkcji z php5.5 dla >=php5.3.7: https://github.com/ircmaxell/password_compat i w przykładach masz jak tego używać.

Aby porównać hasła zakodowane metodą Crypt:

[PHP] pobierz, plaintext 
$crypted_login = crypt($_POST['haslo'], $zakodowane_haslo_z_bazzy);
if($crypted_login == $zakodowane_haslo_z_bazy {
// OK
} else {
//Kiszka
}
[PHP] pobierz, plaintext 

A jak ja mam pobrać $zakodowane_haslo_z_bazzy ?

Jeżeli mówimy o logowaniu, to przecież musisz trzymać w bazie hasło, więc je pobierasz i porównujesz z wprowadzonym w formularzu.

Jeżeli user podaje login lub email na jaki chce się zalogować - pobierasz dane. Jeżeli danych nie znajdzie, również zwracasz komunikat błędu.

[PHP] pobierz, plaintext 
$msg = 'Nieprawidłowy login i/lub hasło.';
 
$password = isset($_POST['haslo']) ? $_POST['haslo'] : false;
$nick = isset($_POST['nick']) ? $_POST['nick'] : false;
 
//check if request data exist
if($nick && $passowrd)
{
    $sql = $db->prepare('SELECT * FROM `gracze` WHERE `nick` = BINARY :nick');
    $sql->bindValue(':nick', $nick, PDO::PARAM_STR);
    $login = $sql->execute();
 
    //check if user exist
    if(false !== $data = $login->fetch())
    {
        //compare hash from db with hash from request password
        if(crypt($password, $data['haslo']) == $data['haslo'])
        {
            //do something after login
        } else
        {
            echo $msg;
        }
    } else
    {
        echo $msg;
    }
} else
{
    echo $msg;
}
[PHP] pobierz, plaintext 

Mniej więcej tak mogło by to wyglądać.

Może większy fragment, bo chyba nie rozumiecie o co mi chodzi.

[PHP] pobierz, plaintext 
<?php
function form_logowanie(){
	echo('
	<div class = "pogrub">Logowanie do konta: </div>
	<form action="login.php" method="post">
	Wpisz Nick:<br/>
	<input type="text" name="nick" /><br/>
	Wpisz hasło:<br />
	<input type="password" name="haslo" /><br/>
	<input type="submit" value="Wyślij" name = "wyslij"/> <br/>
	</form>
	</div>
	');
}
include 'zmienne.php';
session_start();
include ('inc/sql.php');
if(isset($_SESSION['zalogowany'])) {
 
	//część z danymi po zalogowaniu
	}else{
 
	if(isset($_POST['wyslij'])) {
		$pass_crypt = crypt($haslo);
		$login = $db->prepare("SELECT `nick`, `haslo` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
		$login->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
		$login->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
		$login->execute();
 
		$idlogin = $db->prepare("SELECT `id` FROM `gracze` WHERE `nick` = BINARY :nick && `haslo` = BINARY :haslo");
		$idlogin->bindValue(":nick", $_POST['nick'], PDO::PARAM_STR);
		$idlogin->bindValue(":haslo", $pass_crypt, PDO::PARAM_STR);
		$idlogin->execute();
 
		var_dump($_POST['nick']);
		var_dump($pass_crypt);
		var_dump($haslo);
 
		//walidacja...
		if ($login->rowCount() == 1)
		{
 
			if ($idlogin->rowCount() == 1)
			{
				$_SESSION['zalogowany'] = true;
				$_SESSION['nick'] = $_POST['nick'];
				$_SESSION['haslo'] = $_POST['haslo'];
 
				header('refresh: 1;');
				} else {
				echo '<div class="red">Wpisałeś złe hasło. Spróbuj ponownie.</div>';
 
			}
 
			echo ('<div class="blue">Zostałeś zalogowany. Za chwilę zostaniesz przeniesiony do swojego panelu.</div>');
			} else {
 
			echo ('<div class="red">* Użytkownik '.$_POST['nick'].' nie istnieje lub wpisałeś błędne hasło!</div>');
 
		}
		} else {
		form_logowanie();
		?>
[PHP] pobierz, plaintext 

Problem w tym, że nie wiem gdzie wstawić to sprawdzenie czy wpisane hasło jest takie samo jak zahashowane.

Byłby w stanie ktoś może poprawić mi kod? Ja sobie z tym nie daję rady.

No prawie gotowiec już ci dałem, musisz go tylko wstawić w odpowiednie miejsce i podmienić niektóre dane. I są to warunki sprawdzające czy przesłane dane do zalogowania są poprawne, czyli twój warunek: isset($_POST['wyslij']) mniej więcej.

Ale jak za ten warunek:

[PHP] pobierz, plaintext 
if(isset($_POST['wyslij'])) {
[PHP] pobierz, plaintext 

podam to:

[PHP] pobierz, plaintext 
$pass_crypt = crypt($haslo);
if (crypt($haslo, $pass_crypt) == $pass_crypt) {
[PHP] pobierz, plaintext 

pojawia mi się cały czas coś takiego:

[PHP] pobierz, plaintext 
NULL string(34) "$1$965.cX/.$U44X4w5ZHaZuMZshS0DVB." string(0) ""
* Musisz wypełnić wszystkie pola!
* Hasło nie może być krótsze niż 4 znaki!
* Nick nie może być krótszy niż 4 znaki!
* Użytkownik nie istnieje lub wpisałeś błędne hasło!
[PHP] pobierz, plaintext 

z tym, że za każdym razem jak kliknę link do pliku login.php ten kod $1$965.cX/.$U44X4w5ZHaZuMZshS0DVB. się zmienia na inny.

Nikt Ci nie powiedział że będzie taki sam.
Przecież dostałeć od *by_ikar całego gotowca. Czemu nic z tym nie zrobisz.

To czemu jak w bazie mam: $1$ZC3.uB/.$SQbz8cHGDUL1N9FMbujXP1

to

[PHP] pobierz, plaintext 
var_dump($pass_crypt);
[PHP] pobierz, plaintext 

nie zwraca mi tego kodu tylko jakiś inny losowy?

Kodowanie metodą Crypt daje za każdym razem inny Hash.

Aby sprawdzić poprawność musisz to robić tak:

[PHP] pobierz, plaintext 
$pass = 'twojeHasło';
$encodedPassword = crypt($pass);
 
if(crypt($pass, $encodedPassword) == $encodedPassword) {
echo 'OK';
} else {
echo 'Kiszka';
}
[PHP] pobierz, plaintext 

Przepraszam, może jestem za głupi czy coś ale w żaden sposób nie chce mi to działać.
Cały czas pojawia mi się:

[PHP] pobierz, plaintext 
NULL string(34) "$1$bN0.Ik4.$M1bVE15aVpjbHzWIDLAzf0" string(0) ""
* Musisz wypełnić wszystkie pola!
* Hasło nie może być krótsze niż 4 znaki!
* Nick nie może być krótszy niż 4 znaki!
* Użytkownik nie istnieje lub wpisałeś błędne hasło!
[PHP] pobierz, plaintext 

Skąd bierzesz zmienną $haslo ?

Przecież masz ją z formularza więc czy nie powinieneś użyć $_POST(['haslo']) ?

Jeżeli nie pobierasz danych z $_POST to hasło leci puste, dlatego nie zgadzają Ci się dane.

Jeżeli dobrze się przyjrzysz na post #by_ikar to jest to dobrze widoczne.

Pozdrawiam

PS. posiadasz walidację z tego co widać i masz tam napisane że musisz wypełnić wszystkie pola, oczywiście nie wiemy jak ona dokładnie działa, rozdziel sobie walidację wtedy będziesz wiedział dokładnie co jest nie tak.
var_dump($_POST);

Nie możesz zbindować hasła tak jak ty to robisz, zrób tak jak pokazał ci #by_ikar, sprawdzasz czy w bazie istnieje użytkownik jeżeli tak to wtedy sprawdzasz hasło.

Masz tutaj gotowca, bo widzę nie bardzo rozumiesz jak to działa..

[PHP] pobierz, plaintext 
<?php
 
include 'zmienne.php';
session_start();
include 'inc/sql.php';
 
if(isset($_SESSION['zalogowany']))
{
 
    //część z danymi po zalogowaniu
} else
{
    if('POST' == $_SERVER['REQUEST_METHOD'])
    {
        $msg = 'Nieprawidłowy login i/lub hasło.';
 
        $password = isset($_POST['haslo']) ? $_POST['haslo'] : false;
        $nick = isset($_POST['nick']) ? $_POST['nick'] : false;
 
        //sprawdzanie czy przsłane dane są prawidłowe
        if(mb_strlen($nick) > 3 && mb_strlen($password) > 3)
        {
            $login = $db->prepare('SELECT * FROM `gracze` WHERE `nick` = BINARY :nick');
            $login->bindValue(':nick', $nick, PDO::PARAM_STR);
            $login->execute();
 
            //sprawdzanie czy użytkownik istnieje
            if(false !== $data = $login->fetch())
            {
                //porównanie hash hasła z bazy danych, z hash'em hasła przesłanego przez użytkownika
                if(crypt($password, $data['haslo']) == $data['haslo'])
                {
                    //logowanie użytkownika                    
                    $_SESSION['zalogowany'] = true;
                    $_SESSION['nick'] = $nick;
                    $_SESSION['haslo'] = $password;
 
                    //przekierowanie na aktualny adres
                    header('Location: '.$_SERVER['REQUEST_URI']);
                    exit;
                } else
                {
                    //komunikat błędu w przypadku różnicy hasła z bazy i przesłanego hasła
                    echo '<div class="red">'.$msg.'</div>';
                }
            } else
            {
                //komunikat błedu dla niepoprawnego loginu
                echo '<div class="red">'.$msg.'</div>';
            }
        } else
        {
            //komunikat błedu kiedy login/hasło są pustę, lub mają mniej niż 3 znaki
            echo '<div class="red">'.$msg.'</div>';
        }
    } else
    {
        echo '
        <div class = "pogrub">Logowanie do konta: </div>
            <form action="login.php" method="post">
                Wpisz Nick:<br/>
                <input type="text" name="nick" /><br/>
                Wpisz hasło:<br />
                <input type="password" name="haslo" /><br/>
                <input type="submit" value="Wyślij" name = "wyslij"/> <br/>
            </form>
        </div>';
    }
}
[PHP] pobierz, plaintext 

jeżeli używasz przy echo lub include nawiasów (mimo że nie powinieneś) to już używaj wszędzie, inaczej świadczy to tylko o tym że nie jesteś pewien prawidłowej składni. Zmień w swoim edytorze tabulatory na spacje - o wiele bardziej czytelny kod. Stosuj wcięcia w kodzie - o wiele bardziej czytelny kod. Jeżeli kod sprawia ci trudności, wstawiaj komentarze do każdej konstrukcji która jest dla ciebie niezrozumiała.

Dzięki za pomoc, choć liczyłem, że uda mi się samemu to zrobić. Mimo to dzięki wielkie. Napisałeś, żebym stosował komentarze i stosuję, tylko ze względów prywatnych ich w kodzie nie udostępniam. Zawarte są w nich tzw. "rozkminy"

Btw. czemu ta linijka:

[PHP] pobierz, plaintext 
 if(false !== $data = $login->fetch())
[PHP] pobierz, plaintext 

zwraca błąd:

[PHP] pobierz, plaintext 
Fatal error: Call to a member function fetch() on a non-object in C:\WebServ\httpd\strona4\login.php on line 61
[PHP] pobierz, plaintext 

?
Już od jakiegoś czasu staram się nie używać właśnie fetch(), bo wywala mi błędy. Dlaczego?

Zrób sobie var_dump($login). Fetch to metoda obiektu, w twoim przypadku pewnie będzie tam null. Do poczytania podstawy http://www.php.net/manual/pl/language.oop5.basic.php

[PHP] pobierz, plaintext 
if(false !== $data = $login->fetch())
[PHP] pobierz, plaintext 

na

[PHP] pobierz, plaintext 
if($login !== null && (false !== $data = $login->fetch()))
[PHP] pobierz, plaintext 

No to nawet swoje prywatne komentarze wstawiaj, chyba że jest jakiś w tym problem. Pamiętaj, kod czytelniejszy dla ciebie, to i kod czytelniejszy dla nas (nie koniecznie, ale zawsze można spróbować). Co do problemu, cóż zapomniałem przez te wszystkie nakładki i orm'y że tak się nie binduje. Poprawiłem swojego posta.