Problema con password_verify

[techno]

Ciao a tutti
Ho un problema con le verifiche delle password che ho salvato in un database con la funzione password_hash()

Codice PHP:

$user_login = trim($_POST["user_login"]);$psw_login = trim($_POST["psw_login"]);
$sql = "SELECT email, password FROM register_user WHERE email='$user_login' AND password='$psw_login'";
$query = $db->query($sql);
$rec = mysqli_fetch_row($query);
$query = $db->query($sql);
$email = $rec[0];
$password = $rec[1];

if($email == $user_login && password_verify($psw_login, $password)){
echo "ok";
}else {
echo "errore";
} 


Il problema e che mi da sempre errore come mai?

[aquatimer2000]

il dump della query intanto ti restituisce l'hash salvato?

[techno]

il dump della query intanto ti restituisce l'hash salvato?

Si e la prima cosa che ho controllato

[Alhazred]

Secondo me c'è qualcosa che non va nella logica del funzionamento.

Vediamo se ho capito la situazione:
- tramite post l'utente invia l'email e la password "in chiaro", non l'hash ovviamente
- nella query tu cerchi un record con la stessa email e la stessa password che arrivano tramite post.

Nel DB avrai un record con
email: pippo@ciccio.tld
pass: $2y$10$h6hISBD2JEaQT0/Gp4DFwefyHRb/N4YaLdHsh4UyNq9eCOxZ89NWC

dal form ti arriveranno
email: pippo@ciccio.tld
pass: pippo

come fa quella query ad avere un match se gli passi come password "pippo" e non il suo hash?

[techno]

ok ok ho risolto una mia inosservanza
Nella query non posso verificare anche la password visto che non ce lo per la verifica sulla query

[Alhazred]

Saprai sicuramente con quale algoritmo hai criptato le password nel db, esegui lo stesso algoritmo sulla password che ti arriva dal form ed esegui la query usando l'hash ottenuto, se la query ritorna un record il login è andato bene, altrimenti no.

[aquatimer2000]

ok ok ho risolto una mia inosservanza
Nella query non posso verificare anche la password visto che non ce lo per la verifica sulla query

l'importante è che hai risolto ! segui i consigli di Alhazred