Hashowanie haseł w PHP 7.0.0

pytanie zadane 26 maja 2016 w PHP przez DaltooN Początkujący (430 p.)

Witam Państwa!

Od niedawna uczę się programowania aplikacji webowych w PHP. Tworzę system rejestracji, lecz mam pewien problem z hashowaniem haseł. Wchodząc w dokumentację na stronie PHP pisze że podawana przez Pana Mirosława Zelenta funkcja password_hash() i tzw. sól jest zdeprecjonowana. I gdy zapisuję ją w Notepad++ ona mi się nie podświetla tak samo funkcja stała PASSWORD_BCRYPT oraz PASSWORD_DEFAULT.

Prosiłbym o wyjaśnienie jak teraz można zabezpieczyć hasła, z góry bardzo dziękuję.

komentarz 27 maja 2016 przez efiku Szeryf (75,160 p.)

Nie jest deprecated. No i Notepad++ nie służy do programowania w PHP. Spróbuj z PHPStorm / Netbeans.

1 odpowiedź

odpowiedź 26 maja 2016 przez Arkadiusz Waluk Ekspert (287,950 p.)

Co takiego?

http://php.net/manual/en/function.password-hash.php

Gdzie masz napisane, że ta funkcja jest zdeprecjonowana? Jest tylko napisane, że zdeprecjonowana jest opcja podawania dodatkowej soli jako argumentu - najwyraźniej nie jest to opcja przydatna, bo z tego co jest napisane i tak sól jest generowana automatycznie. Żadne sha1, żadne md5, używa się funkcji password_hash, która korzysta z bardzo silnego algorytmu jakim jest BCRYPT.

komentarz 26 maja 2016 przez DaltooN Początkujący (430 p.)

Rozumiem, moje niedopatrzenie.

Mam jeszcze dwa pytania:

W takim razie jeśli sól nie jest już dodawana, to zapis w dalszym ciągu jest taki sam?

Dlaczego w takim razie funkcja stała PASSWORD_DEFAULT oraz PASSWORD_BCRYPT nie jest podświetlana w moim edytorze Notepad++?

komentarz 26 maja 2016 przez Arkadiusz Waluk Ekspert (287,950 p.)

Tak, po prostu nie podajesz tej soli tylko sam tekst i algorytm.

A dlaczego Notepad++ tego nie podświetla to nie wiem. Sam z niego nie korzystam, ale na pewno nie jest to zbyt dobry edytor (właściwie jest możliwie jak najprostszy) i może po prostu nie wspiera jeszcze tych funkcji.

komentarz 26 maja 2016 przez jarou Nowicjusz (100 p.)

Ponieważ nie są to "funkcje stałe", tylko po prostu nazwy stałych i jako takie nie wchodzą w zestaw słów kluczowych ani innych konstrukcji języka. Jeśli się uprzesz, to możesz zdefiniować ich podświetlenie w konfiguratorze stylów, ale właśnie po to przyjęło się zapisywać nazwy stałych wielkimi literami, by wyraźnie wyróżniały się w kodzie nawet bez kolorowania składni.

1	komentarz 27 maja 2016 przez efiku Szeryf (75,160 p.) Może zamień Notepad++ na IDE PHPStorm / netbeans.

komentarz 27 maja 2016 przez jarou Nowicjusz (100 p.)

Moim zdaniem w początkowej fazie nauki nie ma sensu obciążać się wielkim i ciężkim IDE, z którego możliwości i tak się na tym etapie nie skorzysta, a tylko dodatkowo będzie przytłaczać i rozpraszać.

komentarz 27 maja 2016 przez efiku Szeryf (75,160 p.)

To chyba jeszcze mało co kodujesz. IDE nawet nowicjusza prowadzi za rączkę. Analizuje dokładnie kod i podpowiada (np. W stormie) gdzie istnieje potencjalne zagrożenie, nieużywane zmienne, przekroczenie zakresu pętli, odwołanie się do nieistniejącego obiektu... Też używam czasem notatnika gdy wprowadzam prostą zmianę, nigdy podczas pisania strony. (To tak jakby do kopania dziury użyć łyżeczki zamiast łopaty.. Jest lżejsza i tez da się wykopać dziurę ale... )
Z czasem nauki pozna się też większe możliwości tego "ciężkiego" IDE.