Ich bin ein bisschen neu, wenn es um Sicherheit geht, ich habe gelesen php crypt und auf der Suche nach guten Rat, obwohl niemand wirklich ins Detail geht über "wie" Sie gehen es am effektivsten zu tun.bcrypt mit Salz wie?
Ich habe einen Test-Login, die so etwas wie dies verwendet:
//verify login from user input
$username = mysql_real_escape_string($_POST['username']);
$salt = '$2a$10$cdDegHjJLPUvVXYz23679.MOetNHBk9NTStpY9YjJWiL5ECfhHlSm';
$password = crypt(mysql_real_escape_string($_POST['password']), $salt);
(Ich bin sicher, es gibt viel ich ändern müssen sie vollständig sicher zu machen (zB Passwort-String-Länge) beschränken bitte erleuchte mich mit irgendetwas sonst denkst du, wäre von guter Praxis)
Ich lese irgendwo, dass es ideal ist, um ein zufälliges Salz zu machen und es mit dem Passwort zu speichern, (ich verstehe das Konzept der Überprüfung einer Nummer, die sich nicht darauf bezieht, nicht völlig das Passwort)
Th de Ich habe irgendwo gelesen, dass es sinnlos ist, ein zufälliges Salz zu machen, weil es die Sicherheit nicht erhöht, und dass ein statisches Salz das selbe tun würde.
Ich sah dies tutorial mit einem zufälligen Salz mit $ _GET. (Sagen Sie mir, das ist nicht richtig)
Kann mir jemand in die richtige Richtung zeigen, um meine bcrypt so effektiv wie möglich zu machen.
Dank
"Sag mir, das ist nicht richtig" - welcher Teil? –
Bitte verwenden Sie nicht blind mysql_real_escape_string überall. Es sollte nur verwendet werden, um Strings für Abfragen zu umgehen (und es sollte auf jeden Fall vermieden werden, Sie sind sicherer, wenn Sie vorbereitete Anweisungen verwenden, und sie sind leichter für Anfänger geeignet). Und ja, Sie sollten ein zufälliges Salz pro Benutzer verwenden. – knittl