Я читал всевозможные форумы и учебные пособия об этом password_hash()
, что кажется хорошим для защиты паролем.Как насчет password_hash() в PHP
Но теперь я хочу знать, если это лучше сделать собственную соль и хэш для функции как
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
password_hash($password, PASSWORD_BCRYPT, $options);
Или просто пусть функция это сделать:
password_hash($password, PASSWORD_DEFAULT);
Там, кажется, много дискуссий о том, хорошо или плохо ли использовать свою соль.
Может ли кто-нибудь объяснить, почему его плохо (или нет) использовать свою соль?
Из [docs] (http://php.net/manual/en/function.password-hash.php), «Внимание! Настоятельно рекомендуется, чтобы вы не генерировали свою соль для этой функции. для вас автоматически создаст безопасную соль, если вы ее не укажете ». В документах есть много комментариев о том, насколько криптографически безопасна автогенерированная соль, и что создание собственного может привести к проблемам. * Это гораздо более безопасно *, чтобы позволить функции создавать соль. –
Спасибо @JayBlanchard – Refilon