Вы можаце бяспечна захоўваць паролі ў PHP?

Я нядаўна зрабіў PHP сцэнар уваходу з Лагін і пароль для ўваходу ў тэст з сесіямі і ня MySQL.

Я захоўваюцца паролі ў масіве, як гэта

$filepassword[1] = "123";//User Bob
$filepassword[2] = "321";//User Tim

Імёны карыстальнікаў захоўваюцца гэтак жа, як у масіве, як так

$fileuser[1] = "Bob";//Password 123
$fileuser[2] = "Tim";//Password 321

Я выкарыстоўваю Post, каб атрымаць inputtedd пароль, а затым пакласці яго ў цыкле і калі пароль роўны адзінцы ў масіве ён раздзірае і вяртае 1, а затым правярае, ці ёсць супадзенне лікаў для ўводу імя карыстальніка і правярае яго на матч.

Але, калі Istore паролі або нават хэш іх у файле PHP?

1
Вы, верагодна, выбралі найбольш складаную наладу масіва калі-небудзь. Што здарылася з простым кодам <> $ масіва [$ імя карыстальніка] = $ пароль ?
дададзена аўтар deceze, крыніца
Проста хачу выкінуць, што MySQL з'яўляецца <�я> проста , добрае забаўка, і проста, калі вы будзеце прытрымлівацца некалькі падручнікаў.
дададзена аўтар Jimbo, крыніца
@ Loper324 Хуткі крок за крокам: Ваша база дадзеных: ідэнтыфікатар, імя карыстальніка, хэш. Калі хто-то рэгіструецца, то хэш пароля і захаваць імя карыстальніка і <�б> хэш у дб. Калі яны увайсці ў сістэму, яны $ _ POST іх імя карыстальніка і пароль, вы <�я> атрымаць хэш з базы дадзеных (атрымліваючы ўсе дэталі для гэтага карыстальніка), а затым выкарыстоўваць password_verify ( $ _POST [ 'пароль'], $ hashFromDatabase) . Калі True , яны могуць увайсці Simples ..
дададзена аўтар Jimbo, крыніца
@ Loper324 Хуткі крок за крокам: Ваша база дадзеных: ідэнтыфікатар, імя карыстальніка, хэш. Калі хто-то рэгіструецца, то хэш пароля і захаваць імя карыстальніка і <�б> хэш у дб. Калі яны увайсці ў сістэму, яны $ _ POST іх імя карыстальніка і пароль, вы <�я> атрымаць хэш з базы дадзеных (атрымліваючы ўсе дэталі для гэтага карыстальніка), а затым выкарыстоўваць password_verify ( $ _POST [ 'пароль'], $ hashFromDatabase) . Калі True , яны могуць увайсці Simples ..
дададзена аўтар Jimbo, крыніца
@ Loper324 Хуткі крок за крокам: Ваша база дадзеных: ідэнтыфікатар, імя карыстальніка, хэш. Калі хто-то рэгіструецца, то хэш пароля і захаваць імя карыстальніка і <�б> хэш у дб. Калі яны увайсці ў сістэму, яны $ _ POST іх імя карыстальніка і пароль, вы <�я> атрымаць хэш з базы дадзеных (атрымліваючы ўсе дэталі для гэтага карыстальніка), а затым выкарыстоўваць password_verify ( $ _POST [ 'пароль'], $ hashFromDatabase) . Калі True , яны могуць увайсці Simples ..
дададзена аўтар Jimbo, крыніца
Паролі прызначаныя для хэшавання і захоўваюцца ў базе дадзеных, а не ў масівах
дададзена аўтар Mr. Alien, крыніца
Гэта сапраўды не мае значэння, дзе вы захоўваеце іх, важна тое, <�я> як . См PHP "> stackoverflow.com/questions/4795385/…
дададзена аўтар Jon, крыніца
@ Mr.Alien Для сайтаў, якія маюць толькі некалькі карыстальнікаў (у асноўным для абнаўлення кантэнту на вэб-сайце) гэта <�я> ОК , каб захаваць карыстальнікаў у файлах.
дададзена аўтар Leri, крыніца
Вы ніколі не павінны захоўваць паролі непасрэдна, толькі захоўваць іх хэш!
дададзена аўтар Madsen, крыніца
Добра, але кажу, што я хэш іх, але я магу захоўваць іх у .php файла, атрымаць уключаны ў функцыі праверкі?
дададзена аўтар user1465457, крыніца
Ну я не ведаю, як выкарыстоўваць MySQL, так што я не ведаю, як праверыць яго для цыклу ў PHP, але не можа думаць пра прычыну нават ўсталяваць MySQL на маім кампутары толькі для тэставання і гультаяваць на маім PC.
дададзена аўтар user1465457, крыніца
О, я думаю, што я зрабіў @deceze я не думаў пра тое, што, як я ўжо сказаў, я проста, нічога не рабіў, і я толькі пачаў з PHP, гэта быў мой першы раз з дапамогай POST, уключае ў сябе і функцыі на самай справе.
дададзена аўтар user1465457, крыніца
@Jimbo я праверыць гэта, я ведаю некалькі людзей, якія ведаюць трохі, і я магу зрабіць базы дадзеных для некалькіх рэчаў, якія ў гэтым маюць патрэбу. Проста не ведаю, як кіраваць імі або выкарыстаць іх на самай справе.
дададзена аўтар user1465457, крыніца
@Jimbo я праверыць гэта, я ведаю некалькі людзей, якія ведаюць трохі, і я магу зрабіць базы дадзеных для некалькіх рэчаў, якія ў гэтым маюць патрэбу. Проста не ведаю, як кіраваць імі або выкарыстаць іх на самай справе.
дададзена аўтар user1465457, крыніца
@Jimbo я праверыць гэта, я ведаю некалькі людзей, якія ведаюць трохі, і я магу зрабіць базы дадзеных для некалькіх рэчаў, якія ў гэтым маюць патрэбу. Проста не ведаю, як кіраваць імі або выкарыстаць іх на самай справе.
дададзена аўтар user1465457, крыніца
Праверце спасылку
дададзена аўтар Abrah, крыніца

7 адказы

Навошта выкарыстоўваць файл PHP для захоўвання імёнаў карыстальнікаў і пароляў? Гэта даволі стандартны (і просты ў цяперашні час), каб выкарыстоўваць базу дадзеных для пошуку імя карыстальніка/пароля.

Пры гэтым, вы <�моцны> не хочаце захаваць пароль у выглядзе простага тэксту ў базе дадзеных.

PHP 5.5 мае цэлы шэраг новых функцый пароляў выходзіць, так як аб выкарыстанні бібліятэкі, якая дазваляе прамой сумяшчальнасці гэтых функцый? Password_compat .

Справа ў тым, ці трэба ўключыць файл, выкарыстоўваць яго функцыі, а затым, калі 5,5 выходзіць, вы проста выдаліць ўключаюць і ўсе функцыі будуць па-ранейшаму працаваць, таму што яны з'яўляюцца часткай ядра.

Гэта вельмі проста ў выкарыстанні:

  • Hash the password using password_hash()
  • Store the username and hash in the database
  • When logging in, use password_verify() to verify the password sent in $_POST against the hash in the database.

Вось так! Просты, бяспечны, сумяшчальны. Настойліва рэкамендуецца больш плоскім для захоўвання файлаў.


Вы сапраўды павінны ўзяць час, каб вывучыць MySQL. Тым не менш, гэта выдатна, каб закадаваць на інтэрфейс, а не канкрэтную рэалізацыю і перамыкацца з аднаго тыпу памяці на іншае любы час вы хочаце.

Гэта, як гаворыцца, хэшавання пароляў і імёнаў карыстальнікаў і, калі неабходна, запісаць іх у файл. Прынамсі, яны будуць хэшируются, а не ў выглядзе простага тэксту. Вы ўсё яшчэ можаце выкарыстоўваць функцыі, апісаныя вышэй.

Вы можаце нават серыялізацыі() вашага масіва і напісаць, што ў файл, а затым десериализация() яго на зваротным шляху. Але я б вельмі рэкамендую браць тайм-аўт, каб вывучыць асновы MySQL, вы будзеце забраць яго ў самыя кароткія тэрміны на ўсіх.

10
дададзена
@ CarlosCampderrós Fair кропка. Проста хацеў бы навучыць, што лёгкі шлях не заўсёды самы лепшы спосаб;)
дададзена аўтар Jimbo, крыніца
@ Loper324 Для любых PHP функцый, выкарыстоўвайце PHP кіраўніцтва (вы заўсёды можаце знайсці яго, набраўшы ў гугле, напрыклад, «PHP Serialize»). Serialize проста ператвараюць дадзеныя ў захоўваемых ўяўленне, вы павінны паспрабаваць var_dump (серыялізацыі ($ yourArray)) і паглядзець, як ён выглядае. Проста робіць паміж старонак. Для таго, каб атрымаць яго назад, як гэта было, вы десериализации() зноў.
дададзена аўтар Jimbo, крыніца
Вялікія пытанні !! Вы захоўваеце хэш ад пароля у базе дадзеных, а не сам пароль, каб быць бяспечным. Рады, што вы на самой справе хочаце, каб зрабіць гэта правільна шляхам. Вы можаце выкарыстоўваць PDO (або MySQLi, верагодна, прасцей на першы) і падрыхтаваныя заявы , каб прадухіліць гэта. Зноў жа, ёсць простыя падручнікі па ўсёй сеткі, і калі вы ідзяце ў іх з мэтай навучання на гэта, вы будзеце рабіць больш. Калі вы выбралі PDO тут добры падручнік .
дададзена аўтар Jimbo, крыніца
@ CarlosCampderrós Мой пост ужо тлумачыць, што, хоць (шчыра) не пераважны метад, вы можаце зрабіць гэта з дапамогай плоскага файла.
дададзена аўтар Jimbo, крыніца
Вам не трэба MySQL (ці любы іншы базы дадзеных) для вашага пароля, каб быць бяспечным. Правільна хэшавання пароля з'яўляецца важнай часткай тут, не там, дзе яна захоўваецца. Вы можаце захоўваць хэшы ў passwords.txt файл на сэрвэры (з адпаведнымі правамі доступу да файлаў, а не вэб-доступ да) і яны будуць гэтак жа бяспечным, як быць у базе дадзеных.
дададзена аўтар Carlos Campderrós, крыніца
Джымба ваш пост цалкам тлумачыць гэта, але першы @ Loper324 адказ, здаецца, мяркуе, што ён мае патрэбу ў базе дадзеных, каб быць у бяспецы, якая на самой справе не з'яўляецца неабходным для бяспекі (хоць і вельмі зручна для працы з дадзенымі).
дададзена аўтар Carlos Campderrós, крыніца
@Jimbo Я праверу ў гэтыя падручнікі, а таксама вярнуцца да перазапісу мой код цяпер выкарыстоўваць масіў з імем карыстальніка. Зараз я думаю, што ў мяне ёсць усё, што трэба, каб працягнуцца добрая тыдзень даследаванняў і навучальных праграм. Дзякуй за дапамогу ўсім вам.
дададзена аўтар user1465457, крыніца
Таксама @Jimbo я толькі чуў пра тое, што серыялізацыя, што гэта дакладна, якія падручнікі або спасылкі?
дададзена аўтар user1465457, крыніца
@Jimbo Я згодны, я хацеў бы трымаць усё гэта на баку сервера і трымаць яго ў бяспецы.
дададзена аўтар user1465457, крыніца
Так што я павінен быў бы захоўваць пароль у базе дадзеных MySQL для таго, каб быць у бяспецы ад людзей. Ёсць функцыі таксама спыніць ін'екцыі SQL я чую ўвесь гэты час ці нешта, што я не прыйдзецца турбавацца аб з новымі функцыямі?
дададзена аўтар user1465457, крыніца
@Jimbo Дзякуй за спасылку я закладка яго чытаць пазней, калі я атрымліваю шанец.
дададзена аўтар user1465457, крыніца

Навошта выкарыстоўваць файл PHP для захоўвання імёнаў карыстальнікаў і пароляў? Гэта даволі стандартны (і просты ў цяперашні час), каб выкарыстоўваць базу дадзеных для пошуку імя карыстальніка/пароля.

Пры гэтым, вы <�моцны> не хочаце захаваць пароль у выглядзе простага тэксту ў базе дадзеных.

PHP 5.5 мае цэлы шэраг новых функцый пароляў выходзіць, так як аб выкарыстанні бібліятэкі, якая дазваляе прамой сумяшчальнасці гэтых функцый? Password_compat .

Справа ў тым, ці трэба ўключыць файл, выкарыстоўваць яго функцыі, а затым, калі 5,5 выходзіць, вы проста выдаліць ўключаюць і ўсе функцыі будуць па-ранейшаму працаваць, таму што яны з'яўляюцца часткай ядра.

Гэта вельмі проста ў выкарыстанні:

  • Hash the password using password_hash()
  • Store the username and hash in the database
  • When logging in, use password_verify() to verify the password sent in $_POST against the hash in the database.

Вось так! Просты, бяспечны, сумяшчальны. Настойліва рэкамендуецца больш плоскім для захоўвання файлаў.


Вы сапраўды павінны ўзяць час, каб вывучыць MySQL. Тым не менш, гэта выдатна, каб закадаваць на інтэрфейс, а не канкрэтную рэалізацыю і перамыкацца з аднаго тыпу памяці на іншае любы час вы хочаце.

Гэта, як гаворыцца, хэшавання пароляў і імёнаў карыстальнікаў і, калі неабходна, запісаць іх у файл. Прынамсі, яны будуць хэшируются, а не ў выглядзе простага тэксту. Вы ўсё яшчэ можаце выкарыстоўваць функцыі, апісаныя вышэй.

Вы можаце нават серыялізацыі() вашага масіва і напісаць, што ў файл, а затым десериализация() яго на зваротным шляху. Але я б вельмі рэкамендую браць тайм-аўт, каб вывучыць асновы MySQL, вы будзеце забраць яго ў самыя кароткія тэрміны на ўсіх.

10
дададзена
@ CarlosCampderrós Fair кропка. Проста хацеў бы навучыць, што лёгкі шлях не заўсёды самы лепшы спосаб;)
дададзена аўтар Jimbo, крыніца
@ Loper324 Для любых PHP функцый, выкарыстоўвайце PHP кіраўніцтва (вы заўсёды можаце знайсці яго, набраўшы ў гугле, напрыклад, «PHP Serialize»). Serialize проста ператвараюць дадзеныя ў захоўваемых ўяўленне, вы павінны паспрабаваць var_dump (серыялізацыі ($ yourArray)) і паглядзець, як ён выглядае. Проста робіць паміж старонак. Для таго, каб атрымаць яго назад, як гэта было, вы десериализации() зноў.
дададзена аўтар Jimbo, крыніца
@ CarlosCampderrós Мой пост ужо тлумачыць, што, хоць (шчыра) не пераважны метад, вы можаце зрабіць гэта з дапамогай плоскага файла.
дададзена аўтар Jimbo, крыніца
Вялікія пытанні !! Вы захоўваеце хэш ад пароля у базе дадзеных, а не сам пароль, каб быць бяспечным. Рады, што вы на самой справе хочаце, каб зрабіць гэта правільна шляхам. Вы можаце выкарыстоўваць PDO (або MySQLi, верагодна, прасцей на першы) і падрыхтаваныя заявы , каб прадухіліць гэта. Зноў жа, ёсць простыя падручнікі па ўсёй сеткі, і калі вы ідзяце ў іх з мэтай навучання на гэта, вы будзеце рабіць больш. Калі вы выбралі PDO тут добры падручнік .
дададзена аўтар Jimbo, крыніца
Вам не трэба MySQL (ці любы іншы базы дадзеных) для вашага пароля, каб быць бяспечным. Правільна хэшавання пароля з'яўляецца важнай часткай тут, не там, дзе яна захоўваецца. Вы можаце захоўваць хэшы ў passwords.txt файл на сэрвэры (з адпаведнымі правамі доступу да файлаў, а не вэб-доступ да) і яны будуць гэтак жа бяспечным, як быць у базе дадзеных.
дададзена аўтар Carlos Campderrós, крыніца
Джымба ваш пост цалкам тлумачыць гэта, але першы @ Loper324 адказ, здаецца, мяркуе, што ён мае патрэбу ў базе дадзеных, каб быць у бяспецы, якая на самой справе не з'яўляецца неабходным для бяспекі (хоць і вельмі зручна для працы з дадзенымі).
дададзена аўтар Carlos Campderrós, крыніца
Таксама @Jimbo я толькі чуў пра тое, што серыялізацыя, што гэта дакладна, якія падручнікі або спасылкі?
дададзена аўтар user1465457, крыніца
@Jimbo Я згодны, я хацеў бы трымаць усё гэта на баку сервера і трымаць яго ў бяспецы.
дададзена аўтар user1465457, крыніца
@Jimbo Я праверу ў гэтыя падручнікі, а таксама вярнуцца да перазапісу мой код цяпер выкарыстоўваць масіў з імем карыстальніка. Зараз я думаю, што ў мяне ёсць усё, што трэба, каб працягнуцца добрая тыдзень даследаванняў і навучальных праграм. Дзякуй за дапамогу ўсім вам.
дададзена аўтар user1465457, крыніца
@Jimbo Дзякуй за спасылку я закладка яго чытаць пазней, калі я атрымліваю шанец.
дададзена аўтар user1465457, крыніца
Так што я павінен быў бы захоўваць пароль у базе дадзеных MySQL для таго, каб быць у бяспецы ад людзей. Ёсць функцыі таксама спыніць ін'екцыі SQL я чую ўвесь гэты час ці нешта, што я не прыйдзецца турбавацца аб з новымі функцыямі?
дададзена аўтар user1465457, крыніца

Я думаю, што найбольш бяспечным варыянтам з'яўляецца выкарыстанне функцыі md5 (). $ Fileuser [1] = md5 ($ fileuser [1]); і г.д ...

Пераўтварыць усё ў md5, а затым вы можаце параўнаць ператвораныя радкі адзін з адным для роўнасці або нераўнапраўі.

Спадзяюся, я дапамог.

5
дададзена
І многія з іх надзелены даючы эксперт па бяспецы высветліць бок бяспекі, а не згортваць свае ўласныя.
дададзена аўтар Jimbo, крыніца
Няма. <�Б> Ня выкарыстоўваць MD5. Гэта шырока адкрыты для грубай сілы. Зрабіце просты Google для "чаму md5 небяспечных» або небяспечна, ці нешта ўздоўж гэтых ліній. Я не магу ўспомніць лічбы, але магутны графічны працэсар можа ўзламаць любы MD5'd хэш на працягу некалькіх хвілін.
дададзена аўтар Jimbo, крыніца
Пацешна, як вы, хлопцы, носік лухта фактычна не разумеючы <�я> чаму MD5 пазначана быць схільныя да грубай сіле. Ну што ж, не кожны надзелены здольнасцю думаць.
дададзена аўтар N.B., крыніца
Як можна сцвярджаць, што md5() бяспечна ... Падобна на тое, што вам зрабіць некаторыя даганяе w.r.t. бяспекі і хэшавання
дададзена аўтар Madsen, крыніца
Я згодны з @Jimbo, тут з'яўляецца добры артыкул з лічбамі, я проста выпадкова прачытаў сёння
дададзена аўтар juanreyesv, крыніца

Ну так, і няма.

PHP гэта мова на боку сервера, так праз кліента ніхто не можа ўбачыць пароль.

АЛЕ 1: калі хакер атрымае доступ да сервера ваш пароль ня захаваць і кампрамісны. 2: памылка зробленая і PHP файлы не бачаць, як PHP, але тэкст, так што сервер выводзіць дадзеныя ў PHP як тэкст, зноў пад пагрозай

Такім чынам, у сэнсе гэта вельмі рэкамендуе Хэшаванне іх па меншай меры, каб быць бяспечнымі.

Тады гэта пытанне захавання ў файле PHP. Ён мае некаторыя праблемы. 1: ня просты ў выкарыстанні, з базай дадзеных вы можаце зрабіць добрыя запыты і г.д. 2: вы загружаеце (у часе) велізарны масіў у PHP толькі 1 значэнне, неабходнае. адходы памяці

2
дададзена
Ну да, пакуль вы хэшавання іх бяспечна (нам добры метад hasing, я выкарыстоўваю Bcrypt).
дададзена аўтар MKroeders, крыніца
Так да таго часу, як я Хэш пароля можа быць бяспечным ад аддаленых нападаў. Толькі прыйдзецца турбавацца пра людзей, на FTP або на маім кампутары? (Я бягу мясцовы вэб-вузла, каб праверыць гэта)
дададзена аўтар user1465457, крыніца
Я толькі пачынаю з рэчамі, як гэта так, я буду старацца усе гэтыя метады.
дададзена аўтар user1465457, крыніца

Ну так, і няма.

PHP гэта мова на боку сервера, так праз кліента ніхто не можа ўбачыць пароль.

АЛЕ 1: калі хакер атрымае доступ да сервера ваш пароль ня захаваць і кампрамісны. 2: памылка зробленая і PHP файлы не бачаць, як PHP, але тэкст, так што сервер выводзіць дадзеныя ў PHP як тэкст, зноў пад пагрозай

Такім чынам, у сэнсе гэта вельмі рэкамендуе Хэшаванне іх па меншай меры, каб быць бяспечнымі.

Тады гэта пытанне захавання ў файле PHP. Ён мае некаторыя праблемы. 1: ня просты ў выкарыстанні, з базай дадзеных вы можаце зрабіць добрыя запыты і г.д. 2: вы загружаеце (у часе) велізарны масіў у PHP толькі 1 значэнне, неабходнае. адходы памяці

2
дададзена
Ну да, пакуль вы хэшавання іх бяспечна (нам добры метад hasing, я выкарыстоўваю Bcrypt).
дададзена аўтар MKroeders, крыніца
Так да таго часу, як я Хэш пароля можа быць бяспечным ад аддаленых нападаў. Толькі прыйдзецца турбавацца пра людзей, на FTP або на маім кампутары? (Я бягу мясцовы вэб-вузла, каб праверыць гэта)
дададзена аўтар user1465457, крыніца
Я толькі пачынаю з рэчамі, як гэта так, я буду старацца усе гэтыя метады.
дададзена аўтар user1465457, крыніца

Ну так, і няма.

PHP гэта мова на боку сервера, так праз кліента ніхто не можа ўбачыць пароль.

АЛЕ 1: калі хакер атрымае доступ да сервера ваш пароль ня захаваць і кампрамісны. 2: памылка зробленая і PHP файлы не бачаць, як PHP, але тэкст, так што сервер выводзіць дадзеныя ў PHP як тэкст, зноў пад пагрозай

Такім чынам, у сэнсе гэта вельмі рэкамендуе Хэшаванне іх па меншай меры, каб быць бяспечнымі.

Тады гэта пытанне захавання ў файле PHP. Ён мае некаторыя праблемы. 1: ня просты ў выкарыстанні, з базай дадзеных вы можаце зрабіць добрыя запыты і г.д. 2: вы загружаеце (у часе) велізарны масіў у PHP толькі 1 значэнне, неабходнае. адходы памяці

2
дададзена
Ну да, пакуль вы хэшавання іх бяспечна (нам добры метад hasing, я выкарыстоўваю Bcrypt).
дададзена аўтар MKroeders, крыніца
Так да таго часу, як я Хэш пароля можа быць бяспечным ад аддаленых нападаў. Толькі прыйдзецца турбавацца пра людзей, на FTP або на маім кампутары? (Я бягу мясцовы вэб-вузла, каб праверыць гэта)
дададзена аўтар user1465457, крыніца
Я толькі пачынаю з рэчамі, як гэта так, я буду старацца усе гэтыя метады.
дададзена аўтар user1465457, крыніца

Для невялікай колькасці пароляў, захоўваць іх у файле цалкам здзяйсняльна. Вы проста павінны выбраць SANE фармат масіва, ваша гэта ... зусім неаптымальнай. Акрамя таго, як ужо было сказана, ніколі не захоўвайце паролі ў незашыфраваным выглядзе.

passwords.php

<?php

return array(
    'Bob' => '$2y$10$lwnevwevweuvuev...', //hash of Bob's password
    ...
);

login.php

<?php

// include https://github.com/ircmaxell/password_compat functions
require_once 'lib/password.php';

$passwords = require 'passwords.php';

if (isset($_POST['username'], $_POST['password'])) {
    if (!isset($passwords[$_POST['username']])) {
        die('Invalid username');
    }
    if (!password_verify($_POST['password'], $passwords[$_POST['username']])) {
        die('Invalid password');
    }
    echo 'Hi there!';
}

Да таго часу, як вы захоўваеце паролі правільна хэшируется , выкарыстоўваючы надзейны алгарытм, які захоўвае іх у файле наўрад ці больш небяспечным, чым пры выкарыстанні базы дадзеных. З той агаворкай, што вы павінны быць вельмі асцярожныя, каб ніколі не выпадкова раскрыць змесціва гэтага файла PHP; недарэчнага var_debug (паролі $) або няправільна сканфігураваны вэб-сервер можа зрабіць хэшаў пароляў агульнадаступнымі. У гэтым выпадку яны ўсё яшчэ хэшируются, але гэта ўсё ж такі лепш, каб трымаць іх у сакрэце. Выкарыстоўвайце правераныя і зручныя бібліятэкі для хэшавання, як https://github.com/ircmaxell/password_compat .

0
дададзена
Я згодны мая ўстаноўка для ідэнтыфікацыі імя і пароль не быў, а з розуму, я не думаў, каб праверыць гэта, як гэта, я проста скокнуў на першы погляд у мяне з не планую, акрамя як зрабіць сцэнар уваходу.
дададзена аўтар user1465457, крыніца