Takie haszowanie?

pytanie zadane 7 lipca 2015 w PHP przez krecik1334 Maniak (58,390 p.)

<?php
  $login = '$2y$10$GX.GV4XG6h9Uhjq/0sxzwOmNd3C1B5x8eLszMP8PU1go7ujZ91NWK';
  $haslo = '$2y$10$Vp0Nq6kFvnQqK70XKcCEJebuS41/gR1YbLcc9iwfoJvm8ZQh2YqEm';
?>

  $inputlogin = $_POST['login'];
  $inputhaslo = $_POST['haslo'];

  if(password_verify($inputlogin, $login) && password_verify($inputhaslo, $haslo)){
    $_SESSION['zalogowany'] = true;
    unset($_SESSION['blad']);
    header('Location: system.php');
  }
  else{
    $_SESSION['blad'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
    header('Location: index.php');
  }

To co widzicie w kodzie to poprawny przykład haszowania?

1 odpowiedź

odpowiedź 7 lipca 2015 przez Comandeer Guru (607,060 p.)

Wygląda na poprawny - oba hashe to bcrypt, czyli najwyższy możliwy poziom bezpieczeństwa oferowany przez PHP out of box

komentarz 7 lipca 2015 przez krecik1334 Maniak (58,390 p.)

A co sądzisz o używaniu sesji?

komentarz 7 lipca 2015 przez Comandeer Guru (607,060 p.)

Na początek powinno być ok - sesje w PHP są względnie bezpieczne

komentarz 7 lipca 2015 przez Hubert Murawski Stary wyjadacz (11,990 p.)

Comandeer, sesji nie powinnismy używać jedynie z https? Z tego co kiedyś czytałem dość prosto jest przechwycić sesje użytkownika na zwykłym http.

komentarz 7 lipca 2015 przez Comandeer Guru (607,060 p.)

Owszem, powinno się (na co zresztą zwracałem uwagę w innym poście). Z tym, że to nie jest luka w systemie sesji, ale raczej "ficzer" samego HTTP ;)

Rozchodzi się o ciasteczka, które bezwzględnie muszą być słane z flagą http_only i dodatkowo najlepiej z flagą secure (jeśli mamy na serwerze TLS).