1
私はセキュリティについてはまったく新しいものです。私はphp cryptを読んで、良いアドバイスを探していますが、誰も本当に「どのように」あなたが最も効果的な方法でそれをやっていくかについて詳しくは触れていません。塩でbcryptどのように?
私はこのようなものを使用してテスト用のログインを作っ:
//verify login from user input
$username = mysql_real_escape_string($_POST['username']);
$salt = '$2a$10$cdDegHjJLPUvVXYz23679.MOetNHBk9NTStpY9YjJWiL5ECfhHlSm';
$password = crypt(mysql_real_escape_string($_POST['password']), $salt);
(私は何で私を啓発してください、私は)例えば、パスワードの文字列の長さを制限する(それは完全に安全にするために変更する必要がたくさんあります確信しています
ランダムな塩を作り、それをパスワードと一緒に保存するのが理想的だと読んでいます。(私はそれに関係しない番号をチェックするという概念を完全に理解していません。パスワード)
Th私はどこかで、無作為な塩をするのは無意味だと読んでいます。なぜなら、安全性を高めることはできないし、静的な塩も同じことをするからです。
私はこれを見ましたtutorial $ _GETでランダムな塩を使用しました。 (これは正しくないと教えてください)
誰かが私のbcryptをできるだけ効果的にする正しい方向に向けることができますか?
おかげ
「これは正しくない」と教えてください。 –
盲目的に 'mysql_real_escape_string'をどこでも使用しないでください。クエリのために文字列をエスケープするためにのみ使用する必要があります(とにかく避けるべきです。プリペアドステートメントを使用するとより安全で、初心者にとっては簡単に取得できます)。そして、はい、ユーザーごとにランダムな塩を使用する必要があります。 – knittl