а таблица подбора md5?

md5 - он не для хеширования паролей

для етово есть средства получше

И мд5 хватит для проектов

Что значит хватит? Зачем использовать более длинные костыльные и менее безопасные решения, если существует password_hash(), использовать который проще простого и он более надежен?

https://tproger.ru/articles/md5-hacking/

А то ты так пишешь как будто безопасность сайта обратно пропорциональна количеству пользователей в нем.

Холи вар

Когда тебя клиент на бабки поставит из-за того что база утекла и все пароли повзламывали, тогда перестанешь мыслить в терминах "нам хватает и md5"

Ага, бандитов пришлет

и они будут тебя зверски пытать

Омон заберет))

Кстати, вполне возможный вариант. Ну или например ему скажут что в верстке есть пара несоответсвий стандарту.

Anyway, то что вы не хотите улучшить ваш скилл и делать более качественные продукты, а просто шуточки шутите, совсем не говорит в вашу пользу как о специалистах ) Но каждый волен деградировать как пожелает.

Впрочем, в моей практике были попытки прописать в договре на 50 тр санкции в случае чего на какието миллионы. Я всегда в договре пишу, что фин ответственность не при каких обстоятельствах не может превышать стоимости договора.

Я конечно безусловно согласен, мд5 сегодня не надо использовать.

sha1(); :D

ша1 тоже скомпрометирован, ну камон

sha1(); :D

Base64

Держать без кодировки в базе

Base64

json_encode

Запретите ему использовать стикеры в наказание кто-нибудь :)

Ща бы стикеры не юзать

в 2017

БЕСПЛАТНЫЕ

аавъхав

Значит так, кто будет говориь, что пароли нужно хранить в мд5 - RO или бан

а если в открытом виде ?

Вменяемые люди уже отказались даже от md5crypt, и статей куча... нет, найдутся блин знатоки. И спорят еще.

есть же password_hash

ну вот для таких и сделали специально... с дефолтным bcrypt-ом

password_hash(md5)

?

?

в коробках же все по уму уже сделано для авторизации)

Это вроде в фреймворках не?

хотя bcrypt потихоньку задвигает аргон

ну дак коробками называя я имел ввиду фреймворки

sha1(sha256(base32(base64(sha1(base64(sha1($token)))))));

fallas code

sha1(sha256(base32(base64(sha1(base64(sha1($token)))))));

чтоб никто не догадался

а если это привязать ещё к сессии

тру защита1337

sha1(sha256(base32(base64(sha1(base64(sha1($token)))))));

????????????

что смешного, дядь?

да ничево впринцепе

ет же какой бд нужно иметь для таких паролей

еще в сессию записывать

да так то похер уже ... 2017 год же

можно не заморачиваться

ну не совсем, представь 86345678 юзеров в бд с такими парлями

я не знаю сколько там символов)))

у меня 1800 юзеров

нормально, живёт

как думаеш бистро будет select * from users where pass='hash'

+

0,2с

с онлайном 1800+

нормально, живёт

но хеш то не такой большой наверно

поменьше, да

какой то md5+соль наверно

как думаеш бистро будет select * from users where pass='hash'

такие запросы никто не делает

да, я для примера

ERROR: S client not available

как там ночной режим телеграм, кто-то уже видел?

?

dark telegram

первое - если у вас утекли любые хеши - то у вас уже проблемы второе - хеш от хеша хуже чем пароль + соль третье - вы ничего не понимаете в криптографии, как и я, поэтому используйте стандартные пхп функции

если бы понимали, то на пхп бы не писали :D

Никто не понимает в криптографии, кроме криптографов

На coursera курс по криптографии проходил, сложна ))) но круто, скил не плохо так прокачивает

Если кому интересно криптографию подучить: https://ru.coursera.org/learn/crypto + вторая часть от них же

Никто не понимает в криптографии, кроме криптографов

Это ты про тех, кто оставляет бэкдоры в ссл-либах?

Может кто то и оставляет по научению анб ;(

мож фсб )

но какая разница

Да тут на самом деле все просто. алгоритм md5crypt, автор которого уже лет 5 как сам попросил не использовать его больше, ибо он слаб, был написан в 95 году. 22 года назад. И уже тогда он использовал тысячу md5 итераций. По-этому, когда смотришь на все эти md5(md5())... ну.... грустный смех.

Почему слаб? Из-за словарей? Или есть другая причина?

А вот сообрази, как защитить хеш от брутфорса? Ну, при условии, что на сам пароль мы определенные органичения юзерам дали.

лучше защититься от csrf ) а вообще, sha1(base64_encode(md5())) :D

и запретить select into file

Тут чел за мд5 вообще убивать хотел

Лучше не произносите

))

Встречал кто набор PHP-шных ValueObject для телеграмовых объектов?

Попробуй мою либу

Вдруг будет годно

пффф ;)

мы не ищем легких путей ;)

https://github.com/steelbotfw/telegram-bot-api?files=1

ага... я так сначала тоже хотел делать, через конструктор

а потому подумал.... а не взять ли мне jms serializer :)

Слишком просто

да не, все-равно прописывать все типы, только аннотациями