А что гугл по этому поводу говорит? Я, если верить вашим домыслам, нашел ссылку достаточно быстро. Нету у меня ссылки.
А я вот не боюсь показаться глупым или чего-то не знать. Ребят, меряться своими знаниями?! Знаешь - научи, не знаешь, спроси Чего вы спорите Вот я в вашей беседе много чего нового узнал. И чем больше читаю, тем больше башка пухнет ))) Про хэш пароля объясните или гуглить лезть? ))) --- Добавлено --- У меня возник вопрос: После хэширования пароля, я должен проверить этот хэш на совпадение с паролем функцией password_verify Вопрос таков, а не проще ли сравнить хэш пароля из БД с паролем хешированным password_hash? Т.е. зачем нужна функция password_verify, если можно использовать для проверки ту же password_hash?
чего там гуглить php.net должно быть постоянно открыто в соседней вкладке. https://php.ru/manual/function.password-hash.html https://php.ru/manual/function.password-verify.html там всё подробно расписано и примеры использования есть --- Добавлено --- хм... а для кого я собственно второй день тут распинаюсь? лучше будет, если ты сам еще раз прочитаешь тему, и сам ответишь на вопрос: "почему нельзя"
Я понимаю по причине шифрования, но не могу понять где уязвимость Видимо я еще не дорос --- Добавлено --- Про функции уже прочел. Про сравнение строк тоже. Понял, что нужно сравнивать не только содержимое строки, но и тип данных. --- Добавлено --- Правильно я понимаю, что можно отправить мне не просто логин, скажем, а команду, которая будет запущена на стороне сервера? Если так, то как правильно проверить эту строку? P.S. Я как малый ребенок, чем больше узнаю, тем больше "почему", "зачем", "как"
@Arhitec, можно я легонечко поругаюсь матом?) функция password_hash при дефолтном использовании (а именно так и нужно её использовать) постоянно при хешировании использует случайную соль, поэтому хеш постоянно разный. Об этом я писал в теме, даже строчку кода привёл, что бы можно было самому запустить и своими глазами посмотреть. Ты просто физически не сможешь сравнить хеш из БД и вторично сгенерированный хеш, в этом и заключается смысл password_hesh. И я всегда намеренно даю лишь подсказку, а не полную исчерпывающую информацию (а иногда на это просто банально нет времени), потому что главная задача новичка научиться самому находить нужную информацию.
Правильно я понимаю, что можно отправить мне не просто логин, скажем, а команду, которая будет запущена на стороне сервера? Если так, то как г Я думаю "матом" это самое то, что уместно сейчас. Тогда так, а функция проверки хэша не значит ли дает возможность, пусть и очень малую, но взломать этот хэш и получить пароль? Или там настолько сильное шифрование, что на это уйдут годы?! Я конечно извиняюсь за глупые вопросы, но такой уж я А можно последний вопрос и я отстану, наверное ))))) Я не могу понять как работают регулярные выражения в php. Может посоветуете какую статью на эту тему?
я не советую статьи) только книги... только хардкор достаточно еще раз внимательно прочитать описание функций
@miketomlin, @Valick, я правильно понимаю, что вы оба топите за хеширование паролей, но при этом не можете друг с другом договориться? 1) Password API, существующий в пыхе - торт. 2) Жить без него можно? Да. Можно самому генерить соль, самому склеивать все это дело в метахэш, потом самому резать, и сравнивать. 3) Зачем тогда password API? Потому что дофига людей забивает на пункт 2, либо делает его не правильно. Вот разрабы языка и решили, что нужно запилить нативную реализацию механизма хеширования/верификации пароля. И это хорошо. Пользуйтесь Password API, будет вам счастье.