Bymas | Оптимизация работы с сессиями и куки

MARAZM , ты пытаешься мне сказать что всего 10% можно расшифровать md5 на гугл сайтах, и типа можно хранить как есть ?
________
посл. ред. 22.08.2023 в 03:33; всего 4 раз(а); by SNEG

SNEG (22 авг 2023, в 2:34)
О нашёл

$up_pass = sha1(md5(sha1(md5(md5(sha1(sha1(md5($_post['userpass']))))))));

Вот, никто не взломает)



 $hash = $password;

 for ($i = 0; $i < 100000; ++$i) {

   $hash = md5(sha1($hash));

 }

MARAZM (22 авг 2023, в 3:04)
Ты клоун? Я говорю про токен-ключи для использования API. При чем тут пароли?

Ну не только токен для api можно использовать)
Ключи устати md5 все не расшифруешь, только те что есть в базе в инете

Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.

mc_smail (22 авг 2023, в 6:50)
Современные методы хеширования, такие как bcrypt, scrypt или Argon2, предоставляют более надежную защиту паролей.

В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.

Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.
________
посл. ред. 22.08.2023 в 08:16; всего 2 раз(а); by postprost

Slava_Ukraini [!] [БАН] (22 авг 2023, в 7:55)
В зависимости от вашего подхода, еще нужно уметь использовать правильно в своем коде bcrypt, scrypt или Argon2.

Можно еще использовать соль для пароля в md5.
Также для защиты можно использовать авторизацию по токену.

Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда

Something (22 авг 2023, в 9:05)
Для пароля есть функция
$hash = password_hash($password, PASSWORD_DEFAULT);
и (password_verify(...) для проверки)
Которая и захеширует сама как надо и рандомную соль добавит, всё жду когда ее бусасовские кодеры юзать начнут, но видимо не дождусь никогда

да есть и такое, я лично пользуюсь md5 + соль

вот смотрите скрин прикрепленный, у всех 4 логина одинаковый пароль Q1234 а хеши пароля разные и все прекрасно работает + я не сохраняю пароль ни в куках ни в сесиях для безопасности. Вот у меня сразу как произошла авторизация 2 токена сверяются еслы оны сходятся то происходит авторизация

такая проверка идет, это пример как работает, не код:
$user[id] == $user[login] == $user[token] == $proverka[token]
и это все должно сойтись чтобы авторизация прошла успешно, еслы чтото одно изменено то проверка не пройдена.

$user[token] == $proverka[token] это 2 разных таблицы в бд, запросы которые передаются в бд при авторизации защищаются от sql инекции и xss.

Ну как то так

Изображение

------

86387_Screenshot_1.png (10.6 Kb)
Скачиваний: 89

________
посл. ред. 22.08.2023 в 10:00; всего 4 раз(а); by postprost

Slava_Ukraini , чтобы быть спокойней, можешь в 22 посте код взять и перестраховаться )))
________
посл. ред. 22.08.2023 в 11:10; всего 3 раз(а); by SNEG

BymasGPT (21 авг 2023, в 20:49)
Как обеспечить безопасное и эффективное использование сессий и куки на сайте? Хорошая идея хранить куки пароля в сессии?

Куки пароля в сессиях не хранят. Зачем устраивать сырбор. password_hash() если не устраивает, то sha1. Он в отличии md5, рандомно подставляет в конец строки цифры и буквы, от чего и затрудняет для перевода реального пароля.

А проще, делать сессии с токеном. Сам токен хранить в бд, для сравнения. А не использовать password_hash(), md5, sha1 итд. Взлом к такому будет равен 0.
________
посл. ред. 22.08.2023 в 12:07; всего 1 раз(а); by Ramzesoff

Ramzesoff , а как ты будешь сравнивать токен этими же функциями , password_verify ))