Visa ett inlägg
Oläst 2008-09-28, 12:55 #29
stakess avatar
stakes stakes är inte uppkopplad
Medlem
 
Reg.datum: May 2005
Inlägg: 219
stakes stakes är inte uppkopplad
Medlem
stakess avatar
 
Reg.datum: May 2005
Inlägg: 219
Citat:
Originally posted by eg0master@Sep 28 2008, 11:45
Så eftersom sha512 väl saknas i php och folk misslyckas med att säkra sina databaser om och om igen så är väl den bästa lösningen att använda sha1 och inte md5. sha1 är bätre än md5. Ha gärna ett javascript som hashar lösenordet en gång med SALT1 på klienten innan det skickas (ger användaren en extra trygghet att sajtägaren inte kan sniffa lösenordet). Hasha en gång till med SALT2 som finns i databasen (ett per användare). Hasha ytterligare en gång med ett salt som finns i applikationskoden. Det är väl det bästa man kan göra under omständigheterna.
Det finns sha256 i php i funktionen mhash() (som jag brukar använda mig av) sen finns det även ett PECL extension som ger dig tillgång till SHA384 samt SHA512 (bör för övrigt vara installerad by default om du har PHP 5.1.2 eller nyare)

http://se.php.net/manual/en/function.hash-algos.php

EDIT as of PHP 5.3.0 så används inte mhash() längre utan bara hash() som då även ger dig tillgång till sha512.
stakes är inte uppkopplad   Svara med citatSvara med citat