PHP/WEB: Как хранить хешированные пароли

Question

Я понимаю, как использовать хеш/соль/etc пароли на php-странице. Тем не менее, я не знаю, как на самом деле хранить эти пароли.

Например, если мне просто нужно, чтобы документ PHP проверял один пароль на другой (который хранится на сервере), как я фактически храню пароль, он должна быть проверена против? Если бы я просто сидел в файле, кто-то мог прочитать исходный PHP, чтобы найти этот файл, прочитать файл, а затем отправить поддельный POST с этим хэшированным паролем. Если у меня есть соленая, им просто нужно прочитать исходный код, а затем удалить соль. Могут ли они увидеть источник PHP?

Надеюсь, это имеет смысл. Мне просто нужно знать, как хранить хэшированные/соленые пароли на моем веб-сервере. Могу я просто поместить их в .txt? Что произойдет, если кто-то прочитает этот .txt, не может ли он просто отправить поддельный POST, и сервер примет его?

Заранее благодарен!

Answer 1

1. Не помещайте их в файл .txt. По крайней мере, ни один из доступных в Интернете директорий. Я бы посоветовал хранить их в базе данных.

2. Если кто-то действительно получает доступ к вашим хэшам паролей, они не могут использовать его для входа в систему, по крайней мере, не напрямую, потому что вы будете повторять хэш при проверке пароля, создавая, таким образом, соответствие хэш. Тем не менее, доступ к хэшу паролей значительно облегчает взломать фактический пароль с помощью словаря или грубой силы, поскольку проверка того, может ли пароль соответствовать, может выполняться локально и не требует запроса на ваш сервер , По этой причине не забудьте сохранить хэши достаточно безопасно, и если они действительно просочились, принудительно сбрось пароль для ваших пользователей.

Кстати, вам не придется беспокоиться о пользователях, находящихся в состоянии просмотреть исходный код PHP, если они не в состоянии найти уязвимость в коде, который будет раскрыть исходный код.