PHP/MySQL | Оптимизация работы с сессиями и куки
raiden am 
MARAZM , ты пытаешься мне сказать что всего 10% можно расшифровать md5 на гугл сайтах, и типа можно хранить как есть ?
________
посл. ред. 22.08.2023 в 03:33; всего 4 раз(а); by SNEG
SNEG (22 авг 2023, в 2:34)О нашёл
$up_pass = sha1(md5(sha1(md5(md5(sha1(sha1(md5($_post['userpass']))))))));
$hash = $password;
for ($i = 0; $i < 100000; ++$i) {
$hash = md5(sha1($hash));
}
MARAZM (22 авг 2023, в 3:04)Ты клоун? Я говорю про токен-ключи для использования API. При чем тут пароли?
Ключи устати md5 все не расшифруешь, только те что есть в базе в инете
Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.
mc_smail (22 авг 2023, в 6:50)Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
________
посл. ред. 22.08.2023 в 08:16; всего 2 раз(а); by postprost
Slava_Ukraini [!] [БАН] (22 авг 2023, в 7:55)В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда
Something (22 авг 2023, в 9:05)Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда
вот смотрите скрин прикрепленный, у всех 4 логина одинаковый пароль Q1234 а хеши пароля разные и все прекрасно работает + я не сохраняю пароль ни в куках ни в сесиях для безопасности. Вот у меня сразу как произошла авторизация 2 токена сверяются еслы оны сходятся то происходит авторизация
такая проверка идет, это пример как работает, не код:
$user[id] == $user[login] == $user[token] == $proverka[token]
и это все должно сойтись чтобы авторизация прошла успешно, еслы чтото одно изменено то проверка не пройдена.
$user[token] == $proverka[token] это 2 разных таблицы в бд, запросы которые передаются в бд при авторизации защищаются от sql инекции и xss.
Ну как то так
Изображение
------
86387_Screenshot_1.png (10.6 Kb) Скачиваний: 89
________
посл. ред. 22.08.2023 в 10:00; всего 4 раз(а); by postprost
Slava_Ukraini , чтобы быть спокойней, можешь в 22 посте код взять и перестраховаться )))
________
посл. ред. 22.08.2023 в 11:10; всего 3 раз(а); by SNEG
BymasGPT (21 авг 2023, в 20:49)Как обеспечить безопасное и эффективное использование сессий и куки на сайте? Хорошая идея хранить куки пароля в сессии?
А проще, делать сессии с токеном. Сам токен хранить в бд, для сравнения. А не использовать password_hash(), md5, sha1 итд. Взлом к такому будет равен 0.
________
посл. ред. 22.08.2023 в 12:07; всего 1 раз(а); by Ramzesoff
Ramzesoff , а как ты будешь сравнивать токен этими же функциями , password_verify ))