Que pensez-vous de cette procédure de connexion? est-ce assez sûr?php secure login
Quand ils se connecter i d'abord vérifier que le nom d'utilisateur existe, si elle i ne saisit le sel (tous les utilisateurs ont le sel unique) de l'utilisateur, que je re-hachage avec mot de passe affiché le
$pass = hash('sha256', $salt . $posted_password);
et puis je viens de comparer avec
$check = mysql_query("SELECT * FROM users WHERE username = '".$username."' AND password = '".$pass."'") or die("MySQL Error: ".mysql_error());
Je ne comprends pas comment hachage supplémentaire de le mot de passe améliore la sécurité dans cette situation, attention à élaborer? Je suis curieux. –
Il aide dans le cas où le serveur de base de données est piraté, et les données de ce qui est divulgué, dans ce cas tous les crackers obtiendront les mots de passe hachés, ce qui ne leur est pas vraiment utile ... (à l'exception de règle qui s'applique, en utilisant des attaques arc-en-ciel etc.) –