Takie haszowanie?

Question

<?php
  $login = '$2y$10$GX.GV4XG6h9Uhjq/0sxzwOmNd3C1B5x8eLszMP8PU1go7ujZ91NWK';
  $haslo = '$2y$10$Vp0Nq6kFvnQqK70XKcCEJebuS41/gR1YbLcc9iwfoJvm8ZQh2YqEm';
?>

  $inputlogin = $_POST['login'];
  $inputhaslo = $_POST['haslo'];

  if(password_verify($inputlogin, $login) && password_verify($inputhaslo, $haslo)){
    $_SESSION['zalogowany'] = true;
    unset($_SESSION['blad']);
    header('Location: system.php');
  }
  else{
    $_SESSION['blad'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
    header('Location: index.php');
  }

 

To co widzicie w kodzie to poprawny przykład haszowania?

Answer 1

Wygląda na poprawny - oba hashe to bcrypt, czyli najwyższy możliwy poziom bezpieczeństwa oferowany przez PHP out of box

Comments

A co sądzisz o używaniu sesji?

---

Na początek powinno być ok - sesje w PHP są względnie bezpieczne

---

Comandeer, sesji nie powinnismy używać jedynie z https? Z tego co kiedyś czytałem dość prosto jest przechwycić sesje użytkownika na zwykłym http.

---

Owszem, powinno się (na co zresztą zwracałem uwagę w innym poście). Z tym, że to nie jest luka w systemie sesji, ale raczej "ficzer" samego HTTP ;)

Rozchodzi się o ciasteczka, które bezwzględnie muszą być słane z flagą http_only i dodatkowo najlepiej z flagą secure (jeśli mamy na serwerze TLS).

---

Jasne, dzięki za odpowiedź ;)