Если кто-то может заменить учетные данные в вашей базе данных, , и если это единственное, что определяет доступ к вашей системе, то да, пользователь может заставить вашу систему принять любой пароль, который он выбирает.
Это одна из важных причин, почему многие системы производства ... используются внутри компании ... и многих из задней стороны «сантехнический» слои общественных обращенных систем ... делать не паролей использования любого типа для проверки подлинности или авторизации. Вместо этого они используют методы «доверенного стороннего источника», такие как LDAP (OpenDirectory) или Kerberos. В любом случае никто не «шепчет волшебным словам друг другу».
В этом случае, как «проверка подлинности» (проверка кто запрашивающий пользователь на самом деле), и «разрешение» (установление того, что он может сделать) являются не обрабатываются логикой внутри самих систем: эти задачи делегированы централизованно управляемый корпоративный орган. Существует концепция «единого входа». Нет никаких «паролей» для кражи. Даже если система требует от пользователя ответа на личную задачу, например, для ввода пароля часть процедура, центральный орган (программный уровень) управляет всем: обеспечивает вызов, интерпретирует ответ, зная, что правильный ответ был своевременно дан и т. д.
Это надежные технологии с проверенными экспертами, надежными реализациями, которые также являются межплатформенными и отраслевыми стандартами. Они очень полные. Когда вы «садитесь за свой значок», чтобы попасть в ваше здание каждое утро, они, вероятно, действительно открывают дверь. К ним может быть обращен PHP, и/или какой-либо веб-серверной службой работает ваше приложение PHP.
Если у хакера есть доступ к базе данных, он также имеет доступ к идентификатору, поэтому его нет. – Shubanker
Что значит использовать тот же хеш? –
[Не ограничивайте пароли] (http://jayblanchard.net/security_fail_passwords.html) и [используйте правильные методы для хэш-паролей с PHP] (http://jayblanchard.net/proper_password_hashing_with_PHP.html). –