Nauka, czy to ma sens? Opinie

Question

Witam, zacząłem pisać obsługę użytkownika i funkcje typu logowanie itp. Tylko nie wiem czy taki sposób pisania ma w ogóle sens i chcę się dowiedzieć czy mój kod również ma jakiś sens

<?php 
class jesus_users {

	private function passProtector($password){
		$pass_old = md5($password."hitlerdidnothingbad");
		$pass = hash('sha256',$pass_old);

		return $pass;
	}

	private function setUserSessions($array){
		foreach ($array as $key => $value) {
			foreach ($value as $k => $v) {
				$_SESSION[$k] = $v;
			}
		}
	}

	public function logout(){
		if(isset($_SESSION['user_id'])){
			echo "<a href='?logout=true' class='nav-item is-tab' id='wyloguj-btn'>Wyloguj</a>";
			if($_GET['logout'] == 'true'){

			if (isset($_COOKIE[session_name()])) { 
				setcookie(session_name(), '', time()-42000, '/'); 
				}	
				session_destroy();
				
			}
		}
		
	}

	public function login($email,$pass,$db){
		$password = $this->passProtector($pass);
		//echo $password; 
		//echo $email;
		if ($db->has("accounts",["email" => $email, "pass" => $password])){
			$date = $db->select("accounts",["user_id"],["email" => $email]);
			$this->setUserSessions($date);
		};
	}

	public function register($email,$pass,$db){
		$password = $this->passProtector($pass);
		$data;
		if ($db->has("accounts",["email" => $email])){
			$data = "exist";
		}else{
			$db->insert("accounts",["email" => $email,
				"pass" => $password]);
			$data = "registered";
		}
		echo $data;
	}

	public function profile(){
		if(isset($_SESSION['user_id'])){
			echo "<a href='template/Smolarek/profile.php' class='nav-item is-tab' id='profile-btn'>Profil</a>";
		}
	}
}
?>

 

Comments

Mieszanie haseł sha1/md5 nie jest i prawdopodobnie nigdy nie było standardem przechowywania poufnych danych. W PHP masz bodajże funkcję password_hash służącą do jednokierunkowego hashowania.

---

Jezus Chrystus, byłem przekonany że md5 jest lepsze od password_hash, dlaczego to jest lepsze od md5 ? md5 wydaje się... lepsze.

---

Głównie dlatego, że złamanie md5 to nie jakiś big-deal w dzisiejszych czasach, wykorzystuje się go dzisiaj do wyliczania sum kontrolnych, choć i to powoli umiera.

 

http://www.securityinnovationeurope.com/blog/page/whats-the-difference-between-hashing-and-encrypting

https://www.sitepoint.com/hashing-passwords-php-5-5-password-hashing-api/

 

---

Okej dziękuje za informacje :)

---

Dzięki wielkie!

---

Mylący tytuł tematu. Pytania tego użytkownika będę omijał...

Answer 1

Czyli md5, czy password_hash?

Gdybyście mogli jeszcze napisać dlaczego jest lepsze

Co sądzicie o raszcie?

Comments

Pan Magicone ładnie wyjaśnił i podał źródła wiec, po co piszesz to drugi raz?
 

---

UltraSF, popatrz na minuty

---

A no tak, przepraszam :3