Я как бы новый, когда дело доходит до безопасности, я читал php crypt и искал хороший совет, хотя никто не вникает в подробности о том, «как» вы делаете это самым эффективным способом.bcrypt с солью как?
Я сделал тестовый логин, который использует что-то вроде этого:
//verify login from user input
$username = mysql_real_escape_string($_POST['username']);
$salt = '$2a$10$cdDegHjJLPUvVXYz23679.MOetNHBk9NTStpY9YjJWiL5ECfhHlSm';
$password = crypt(mysql_real_escape_string($_POST['password']), $salt);
(я уверен, что есть много мне нужно изменить, чтобы сделать его полностью безопасным (например, ограничение пароля длина строки), пожалуйста, просветите меня ни с чем иначе вы считаете, что это будет хорошей практикой)
Я где-то читал, что идеально, чтобы сделать случайную соль и сохранить ее с помощью пароля (я не совсем понимаю эту концепцию проверки числа, которое не относится к пароль)
Th ru Я где-то читал, что бесполезно делать случайную соль, потому что это не повысит безопасность, и что статическая соль будет делать почти то же самое.
Я видел это tutorial используя случайную соль с $ _GET. (Скажите мне, что это не так)
Может кто-то указать мне в правильном направлении, чтобы сделать мой гребень максимально эффективным.
Благодаря
«Скажите мне, что это неправильно» - какая часть? –
Пожалуйста, не слепо используйте 'mysql_real_escape_string' везде. Его следует использовать только для исключения строк для запросов (и его следует избегать в любом случае, вы более безопасны при использовании подготовленных инструкций, и им легче получить право для начинающих). И да, вы должны использовать случайную соль для каждого пользователя. – knittl