Я пишу основной скрипт входа в PHP в PHP (login_config.php).
Мой вопрос: правильно ли я выполняю функцию password_verify () в отношении безопасности / защиты пользователей?
-Примечание: Почтовые данные отправляются из login.php
КОД (LOGIN_CONFIG.PHP):
<?php //POST VARIABLES $submit = $_POST['login_submit']; $username = $_POST['login_username']; $password = $_POST['login_password']; $email = $_POST['login_email']; require 'password_config.php'; if(isset($submit)){ require 'db/connect.php'; //PASSWORD VERIFYING $pass_query = "SELECT password FROM users WHERE email='$email'"; $queried = mysql_query($pass_query); while($row = mysql_fetch_array($queried)){ $user_pass = $row['password']; $veri_password = password_verify($password, $user_pass); } if(!$veri_password === true){$errors[] = '-Account does not exist ';} EDIT: Я знаю о других недостатках, пожалуйста, обратите внимание на первоначальный вопрос.
Вы правильно используете функцию password_verify (), если $row['password'] возвращает хэш- адрес соответствующего пароля, созданный с помощью пароля password_hash () обычного пароля, а не простой пароль или любое другое значение, чем это.
Обратите внимание, что в этот ответ не включены никакие дополнительные соображения безопасности.