Tar tillfället i akt och frågar om denna funktion är en bra lösning. Själv känner jag mig hyffsat noob på det här med säker kryptering av lösenord. Med följande funktion följer jag dessa principer som jag snappat upp på lite här och där på nätet.
- Blanda md5 och sha1
- Kryptera flera gånger om
- Använd ett dynamiskt salt kopplat till användarens lösenord
- Använd även ett statiskt salt som man "gömmer" någonstans i applikationskoden
Kod:
function generatePassword($password, $salt) {
$str = md5($password.$salt);
for($i=0; $i<5; $i++) {
$str = sha1($str);
}
return md5($salt.($str).$salt.STATIC_SALT);
}
Är något onödigt? Är det något annat jag bör tänka på?
// Vic