Hashowanie haseł. Dobra Książka. Programowanie obiektowe -> Kilka pytań :)

pytanie zadane 27 grudnia 2015 w PHP przez majfirst Obywatel (1,200 p.)

Witam :)

Mam do was kilka pytań, z góry dzięki za odpowiedzi! :>

1. Hashowanie haseł - md5 czy sha1? Wiem, że dla mniejszych witryn nie ma to za dużego znaczenia ale chciałbym się dowiedzieć (ponoć sha1 bezpieczniejsze). Można używać ich razem? -> sha1(md5($str))?

2.Znacie jakieś dobre książki do nauki php? Może być połączona z MYSQL. Dość zrozumiała i żebym dzięki niej mógł się nauczyć dość dużo :) (nie, nie jestem takim lajkiem, trochę umiem :D). Najlepiej allegro/helion. :)

3. Programowanie obiektowe w PHP a nieobiektowe. Wiem czym się różni to w c++ w sumie w php też - klasy obiekty itp, ale chodzi mi konkretnie o łączenie się z bazą danych. mysqli->query w obiektówce czy normalnie mysqli_query. Która metoda do łączenia się z bazą lepsza / bezpieczniejsza / czym się różnią.

Z góry dzięki za wszystkie odpowiedzi! :)

3 odpowiedzi

odpowiedź 27 grudnia 2015 przez Arkadiusz Waluk Ekspert (290,250 p.)

Odpowiadając dość krótko, bo tu nie ma się nad czym rozwodzić

password_hash i password_verify (BCRYPT)
http://php.net/manual/en/ najlepsza książka do nauki PHP
mysqli_query i mysqli->query to jest to samo tyle że właśnie to pierwsze jest strukturalne a drugie obiektowe. Mówisz o czymś lepszym więc od razu zainteresuj się PDO a nie tym

komentarz 27 grudnia 2015 przez Tapicera Obywatel (1,320 p.)

Dobrze gada polać mu

odpowiedź 27 grudnia 2015 przez writen Nałogowiec (29,060 p.)

1. Do hashowania hasła służy funkcja password_hash() i ją należy stosować. I nie ma znaczenia czy strona jest duża, mała, czy niedorozwinięta. Kwestii bezpieczeństwa nie należy lekceważyć!

2. Niestety nie znam żadnych książek. Wszystkie, które czytałem są już nieaktualne. Jeżeli już coś umiesz, to do dalszej nauki wystarczy ci internet.

3. Najlepszy sposób do obsługiwania bazy danych to skorzystanie z klasy PDO. mysqli jest takie trochę ubogie i zbyt bardzo przypomina te stare funkcje mysql_*.

odpowiedź 27 grudnia 2015 przez Tomatosoup Pasjonat (18,530 p.)

1. https://kryptosfera.pl/post/praktyczny-atak-na-sha-1-mozliwy-o-wiele-szybciej-niz-zakladano/

Co prawda wątpie by ktoś u ciebie to wykorzystał, no ale wiadomo że skoro można, to dlaczego by się nie zabezpieczyć lepiej. Użyj SHA-2 albo jeszcze mocniejszego bcrypta. Do tego dodaj jakiś salt do hasła

2. Nie programuje w php, ale z doświadczenia z innych technologi wiem, że jeżeli już trochę umiesz to najlepsza jest dokumentacja

http://php.net/manual/en/

3. PDO