Ocena bezpieczeństwa kodu.

Question

Witam :)

Jak oceniacie bezpieczeństwo tego kodu ?

  $login = $date['login'];
      $password = $date['password'];
      $password = sha1($password);
      // $password = password_hash($date['password'], PASSWORD_DEFAULT);
      // echo $password;
      // phpinfo();
      // exit();

      $stmt = $this -> db ->prepare('SELECT pid, login FROM tablename WHERE login = ? AND haslo = ?');
      $stmt->bind_param('ss', $login, $password);
      $stmt->execute();
      $stmt->bind_result($pid, $login);
      $stmt->store_result();

 

Osobiście bym zmienił sam sposób łączenia się z bazą z mysqli na PDO,ale narzucone z góry zostało że ma być mysqli.

Tak samo z sha1, zastosował bym password_hash, ale PHP jest w wersji 5.3.x.x

To jest tylko część kodu,reszta to tajemnica zawodowa ;)

Pozdrawiam

Answer 1

Tak samo z sha1, zastosował bym password_hash, ale PHP jest w wersji 5.3.x.x

Ta wersja już dawno nie żyje, więc proponowałbym czym prędzej zaktualizować PHP i użyć password_hash(). A na pewno zapomnieć o sha1(), o którym od kilku dni jest wyjątkowo głośno: https://zaufanatrzeciastrona.pl/post/pierwsza-kolizja-sha-1-i-co-to-dla-wszystkich-oznacza/

Poza tym jest bindowanie więc okej, za wiele do oceny tutaj nie ma.

Comments

Dzieki za odpowiedź.

Niestety nie mam możliwości aktualizacji PHP, jestem odpowiedzialny tylko za poszczególne moduły aplikacji. Spróbuję się skontaktować z "górą".

Answer 2

https://shattered.it/

Comments

Dzięki za stronkę ;)