WAP Мастер Форум

koji · 2015.07.21 22:40

http://php.net/manual/ru/function.password-hash.php

для новой функции дают пример

Код:

1

span style="color: #0000BB"><?phpecho password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n";//Результатом выполнения данного примера будет что-то подобное://$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a?>

но мне почему-то хочется сделать так:

Код:

1

span style="color: #0000BB"><?phpecho password_hash(md5("rasmuslerdorf"), PASSWORD_DEFAULT)."\n";?>

что скажете?

Еще меня волнует что писать в cookie, хеш: $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a ?

Как она кодирует данные, пароль в md5 и добавляет соль или пароль без md5 и соль?

Gemorroj · 2015.07.22 09:01

http://habrahabr.ru/post/194972/ тут почитай.
md5 не нужен. алгоритм по умолчанию - bcrypt. соль добавляется в результатирующий хэш.

koji · 2015.07.22 13:18

Gemorroj
а как с куками? ведь в куки лучше писать md5(password_hash()), простая передача хеша с солью аналогична тому, чтобы выложить БД.
что порекомендуешь?

Gemorroj · 2015.07.22 14:55

зачем тебе в куках захешированный пароль? там обычно кука с сессией. кража ее, даст проблему только на уровне этой сессии, и если злоумышленник не успел сделать что-то плохое за время ее жизни, то все само собой нормализуется.
получение же хоть какого хэша в куке, по которому происходит авторизация, равносильна открытому паролю. поскольку злоумышленник сможет по нему авторизоваться. поэтому разницы, будет в куке результат md5(password_hash()) или password_hash() никакой нет.

koji · 2015.07.23 18:12

раньше я передавал сессию в строку: писал айди и хеш пароля в $_SESSION и потом делал выборку по айди и сравнивал пароль в переменной сессии с тем, что в бд, если совпадал, то считал пользователя авторизованным.
а как на куках сравнивать?
или тут тоже писать айди и хеш пароля в переменую $_SESSION и в ссылках уже не передавать SID, а в php.ini просто включить "сессион юс куки"

Отредактировано koji (2015.07.23 18:13)

Gemorroj · 2015.07.23 18:16

в ссылках никогда сессию вставлять не нужно. отключи эту возможность и считай что у всех пользователей есть есть куки.
в сессию пиши все что хочешь. выборку можешь делать по id пользователя из сессии.

koji · 2015.07.23 19:16

Не совсем понимаю как проверять что он авторизован и давать ему доступ к анкете. Он зашел и его браузер отдал куку с сессией. А как узнать как он в БД записан?
Я так делал:

Код:

1

span style="color: #0000BB"><?phpif(isset($_SESSION['id']) && ctype_digit($_SESSION['id'])) { $res=$mysqli->query("SELECT id,login,password,email FROM users WHERE id=".$_SESSION['id']); if($row=$res->fetch_row()) { if($row[2]==$_SESSION['pass']) { $user=$row[1];//...//на страницах include предыдущего кода и проверкаif(isset($user)) {//пользователь авторизован?>

Отредактировано koji (2015.07.23 19:17)

Gemorroj · 2015.07.23 20:12

пароль можно не проверять даже

koji · 2015.07.24 20:20

Gemorroj, то есть получается так: Куки дают понять скрипту какой файл сессии принадлежит пользователю, который сейчас на сайте. Этот файл сессии, хранящийся в папке tmp, отдает переменную $_SESSION['id'] (ее создаю я, при успешной авторизации пользователя), после мне достаточно запросить в БД существование такого ID (указанного в переменной $_SESSION['id']) и все даем доступ юзеру к данным. Но изменение данных разрешать только по подтверждению с вводом пароля.
Верно понимаю принцип работы? очень важно не запороть...

Gemorroj · 2015.07.24 22:05

да. именно так.

WAP Мастер Форум

#1 2015.07.21 22:40

использование password_hash()

Код:

Код:

#2 2015.07.22 09:01

Re: использование password_hash()

#3 2015.07.22 13:18

Re: использование password_hash()

#4 2015.07.22 14:55

Re: использование password_hash()

#5 2015.07.23 18:12

Re: использование password_hash()

#6 2015.07.23 18:16

Re: использование password_hash()

#7 2015.07.23 19:16

Re: использование password_hash()

Код:

#8 2015.07.23 20:12

Re: использование password_hash()

#9 2015.07.24 20:20

Re: использование password_hash()

#10 2015.07.24 22:05

Re: использование password_hash()

Дополнительно