password_verify()

パスワードベリファイ（Web開発とセキュリティ）

意味ハッシュとパスワードを照合

password_verify()とは？

password_verify()は、PHPの組み込み関数で、平文のパスワードとそのハッシュ値が一致するかどうかを確認するために使用されます。この関数は、ユーザーがログインする際など、入力されたパスワードが正しいかどうかを安全に確認する際に重要です。

password_verify()の具体的な使い方

ログイン処理でのパスワード検証例

<?php
// データベースから取得したユーザー情報を想定
$stored_user = [
    'username' => 'existinguser',
    'password' => '$2y$10$abcdefghijklmnopqrstuvwxyz0123456789/ABCDEFGHIJKLMNOPQ'
];

// ユーザーがログインフォームで入力したと仮定
$input_username = 'existinguser';
$input_password = 'user_input_password';

// ユーザー名の確認
if ($input_username === $stored_user['username']) {
    // パスワードの検証
    if (password_verify($input_password, $stored_user['password'])) {
        echo "ログイン成功！ようこそ、{$input_username}さん。";
    } else {
        echo "パスワードが間違っています。";
    }
} else {
    echo "ユーザー名が見つかりません。";
}

👇出力結果

ログイン成功！ようこそ、existinguserさん。

この例では、ユーザーログイン処理を想定しています。まず、データベースから取得したユーザー情報（この例では配列で代用）と、ユーザーが入力したユーザー名とパスワードを比較します。ユーザー名が一致した場合、password_verify()関数を使用して、入力されたパスワードとデータベースに保存されているハッシュ化されたパスワードを安全に比較します。この方法により、平文のパスワードを直接比較することなく、セキュアにパスワードの検証を行うことができます。

password_verify()に関するよくある質問

Q. password_verify()の利点は？

A. password_verify()関数を使用することの主な利点は、タイミング攻撃に対する保護が組み込まれていることです。また、この関数はpassword_hash()で生成されたハッシュと互換性があり、将来的なアルゴリズムの変更にも対応できます。

Q. ハッシュが毎回違うのに検証可能？

A. password_verify()関数は、ハッシュに含まれるソルトやアルゴリズム情報を自動的に解析します。そのため、同じパスワードから生成された異なるハッシュであっても、正しく検証することができます。これにより、セキュリティを維持しながら柔軟な検証が可能になります。

Q. 古いMD5ハッシュでも使える？

A. password_verify()関数は、PHPのpassword_hash()関数で生成されたハッシュのみをサポートしています。MD5やSHA1などの古いハッシュアルゴリズムで生成されたハッシュには使用できません。セキュリティ向上のため、古いハッシュアルゴリズムから新しいものへの移行が推奨されています。

password_verify()が学べる書籍の紹介

「プログラミング単語帳」を使って、プログラミングの単語を英単語のように学習してみませんか？
プログラミング単語帳には、PHPのpassword_verify()やトークン生成、setcookie()、password_hash()、などのような実務でよく使われる単語が数百以上収録されています。
この書籍には、プログラミングの単語の意味や読み方、単語の使い方がわかる例文などが掲載されており、いつでもどこでもプログラミングの学習ができます。

よく使われる単語にだけ絞って学習することができるので、効率的にプログラミングが学習できます。