PHP/MySQL | Оптимизация работы с сессиями и куки

________
посл. ред. 22.08.2023 в 03:33; всего 4 раз(а); by SNEG

О нашёл

$up_pass = sha1(md5(sha1(md5(md5(sha1(sha1(md5($_post['userpass']))))))));
$hash = $password;
for ($i = 0; $i < 100000; ++$i) {
$hash = md5(sha1($hash));
}

Ты клоун? Я говорю про токен-ключи для использования API. При чем тут пароли?
Ключи устати md5 все не расшифруешь, только те что есть в базе в инете
Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.

Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
________
посл. ред. 22.08.2023 в 08:16; всего 2 раз(а); by postprost

В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.
Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда

Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда
вот смотрите скрин прикрепленный, у всех 4 логина одинаковый пароль Q1234 а хеши пароля разные и все прекрасно работает + я не сохраняю пароль ни в куках ни в сесиях для безопасности. Вот у меня сразу как произошла авторизация 2 токена сверяются еслы оны сходятся то происходит авторизация
такая проверка идет, это пример как работает, не код:
$user[id] == $user[login] == $user[token] == $proverka[token]
и это все должно сойтись чтобы авторизация прошла успешно, еслы чтото одно изменено то проверка не пройдена.
$user[token] == $proverka[token] это 2 разных таблицы в бд, запросы которые передаются в бд при авторизации защищаются от sql инекции и xss.
Ну как то так
------

Скачиваний: 89
________
посл. ред. 22.08.2023 в 10:00; всего 4 раз(а); by postprost

________
посл. ред. 22.08.2023 в 11:10; всего 3 раз(а); by SNEG

Как обеспечить безопасное и эффективное использование сессий и куки на сайте? Хорошая идея хранить куки пароля в сессии?
А проще, делать сессии с токеном. Сам токен хранить в бд, для сравнения. А не использовать password_hash(), md5, sha1 итд. Взлом к такому будет равен 0.
________
посл. ред. 22.08.2023 в 12:07; всего 1 раз(а); by Ramzesoff
