md5, sha1

ни в коем случае, смотри password_hash

В базе надо хранить рф

и как рассылку делать ?

шлите письмо на мыло и так вылидируйте :)

и как рассылку делать ?

Автоматом все должно резолвится же через классы

ни в коем случае, смотри password_hash

спасибо, но как на счет просто сперва проверить на пустоту пост-переменный, потом хешировать мыло и пасс и проверить на наличии в БД?

Мир жесток а валидная регулярка есть в рфц

На практике разумно доверится @ и подтверждению

Автоматом все должно резолвится же через классы

смотри, перед валидацией прогоняешь емейл через класс, который конвертит домены, а потом уже скармливаешь валидатору

спасибо, но как на счет просто сперва проверить на пустоту пост-переменный, потом хешировать мыло и пасс и проверить на наличии в БД?

зачем проверять пароль в БД?

зачем проверять пароль в БД?

а что только мыло?

смотри, перед валидацией прогоняешь емейл через класс, который конвертит домены, а потом уже скармливаешь валидатору

А потом обратно чтобы на сайте поуазать

RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule .* index.php [L] RewriteCond %{HTTPS} =on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [QSA,L] Парни эти два реврайт рула как-то могут конфликтовать между собой?

Да именно так как написал пользователь с заглавными буквами

а что только мыло?

да, по мылу находишь строку, и уже в коде проверяешь пароль

так записываешь исходный. тебе же просто проверить надо. хотя лучше 2 колнки в базе иметь. email и email_canonical

так записываешь исходный. тебе же просто проверить надо. хотя лучше 2 колнки в базе иметь. email и email_canonical

Я так не считаю

да, по мылу находишь строку, и уже в коде проверяешь пароль

т.е. из БД вытаскивать мыло и пасс но искать только по мылу?

А в прочем ты говоришь то же самое но предлагаешь дублирование

так записываешь исходный. тебе же просто проверить надо. хотя лучше 2 колнки в базе иметь. email и email_canonical

одной колонки достаточно.

т.е. из БД вытаскивать мыло и пасс но искать только по мылу?

из БД только хэш пароля, мыло у тебя уже есть

из БД только хэш пароля, мыло у тебя уже есть

Отказ от мд5 мешает валидации вне пхп

И есть pl/pgsql

из БД только хэш пароля, мыло у тебя уже есть

непонимаю, как тогда сравнить мыло?

Отказ от мд5 мешает валидации вне пхп

чего это ?

непонимаю, как тогда сравнить мыло?

Критика не про сравнивание

непонимаю, как тогда сравнить мыло?

where email = '$email'

А про валидацию пользовательского ввода

только через подготовленное выражение

/stat@combot

combot.org/chat/-1001047863278

Отказ от мд5 мешает валидации вне пхп

pbkdf2 придумали не в php

только через подготовленное выражение

Ахпхпхахпхп но нет. Я уж было подумал ты троль а ты маджахед

только через подготовленное выражение

SELECT pswd,email FROM users WHERE email = ? вот так?

combot.org/chat/-1001047863278

SELECT pswd,email FROM users WHERE email = ? вот так?

да

pbkdf2 придумали не в php

Не о том речь а о кросплатформенности

SELECT pswd,email FROM users WHERE email = ? вот так?

только еще раз, email у тебя уже есть, тебе не нужно его выбирать

Да конечно мд5 раинбоутэйблы есть уже у всех

Не о том речь а о кросплатформенности

а она нужна вообще?

Но решается длинной солью

Отказ от мд5 мешает валидации вне пхп

о_О

да

так я не понял, чем проверять валидность мыла на входе? а то тут все спорят и спорят

так я не понял, чем проверять валидность мыла на входе? а то тут все спорят и спорят

проверяй, что есть собака, что-то слева, что-то справа и шли тестовое письмо со ссылкой на подтверждение

Не о том речь а о кросплатформенности

а она тут причем ?

А чем password_hash обидел вас?

самый безопасный вариант, чтобы не пропустить никого

а она нужна вообще?

Не всем же пхп мазаться. Plsql реально хорош в этом конкретном вопросе

самый безопасный вариант, чтобы не пропустить никого

++

А чем password_hash обидел вас?

Да не норм. Просто надо понимать универсальное средство и нормальное

Не всем же пхп мазаться. Plsql реально хорош в этом конкретном вопросе

ну так если ты пишешь не на пхп - используй что-то другое, встроенное в этот язык

вряд ли же у тебя будет в одном месте авторизация на пхп, а в другом - на руби

потому что в этом случае ты явно что-то не так делаешь

Не всем же пхп мазаться. Plsql реально хорош в этом конкретном вопросе

любой язык и технология поддерживает снандартные алгоритмы хеширования . даже тот же постгрес

проверяй, что есть собака, что-то слева, что-то справа и шли тестовое письмо со ссылкой на подтверждение

это при регистрации, а при аутентификации?

это при регистрации, а при аутентификации?

рега

любой язык и технология поддерживает снандартные алгоритмы хеширования . даже тот же постгрес

кстати да. гугл говорит что он умеет в bcrypt

Ну, я не берусь утверждать, но мне кажется, что шифровать bluefish'em или bcrypt'ом можно либо везде, либо через шелл, в худшем случае.

это при регистрации, а при аутентификации?

берешь мыло, берешь пароль, мутишь из них хеш, как ты делал при регистрации и ищешь в базе по мылу и хешу

кстати да. гугл говорит что он умеет в bcrypt

md5, sha1, sha224, sha256, sha384 and sha512 да много чего

вроде очевидно же

так я не понял, чем проверять валидность мыла на входе? а то тут все спорят и спорят

На фронте регуляркой /^[^\s@]+@[^\s@]+$/ будет достаточно имхо. При регистрации можно и построже. Лишниц запрос в бд ничего не убьет. А вообще у тебя должна быть база регистронезависимая. А в пг у тебя куда больше возмодностей. Напримкюер повесить индекс на lower(email)=lower(:email)

А в прочем я стараюсь насквозь авторизовывать и емайлы и логины по 1 полю

ERROR: S client not available

значит password_hash() лучше md5() и sha1()?

да, хотябы потому что умные дяди считают это лучшей практикой для хеширования пароля

длина всего 60 символов?

всегда?*

хранить в varchar, верно?

значит password_hash() лучше md5() и sha1()?

Выше надежность

Но не обязательно ей ограничиваться даже с md5

хранить в varchar, верно?

ага

если хеш всегда будет 60 символов

и еще подскажите PASSWORD_DEFAULT vs. PASSWORD_BCRYPT

выше же написано, что PASSWORD_DEFAULT может поменяться в будущем

по этому оно сейчас возвращает 60, а потом - как повезет

Ты понимаешь что открыть статью тебе даст больше пользы?

В нужном направлении тебчюя уже пнули

Верните плз @pqvsld , очень соскучился по вам)

Верните плз @pqvsld , очень соскучился по вам)

?

он же тут

Он алькапоне ))) и пишет в личку мне )

спасибо дмитрий

Похоже бот банит тех - кто в гугле забанен

но зачем меня забанили?

я знаю это как то из вас

но зачем меня забанили?

для начало нужно выяснить, кто

Подскажите пожалуйста необходимые в первую очередь навыки для бекэнда

Мозг?

++ именно

а нужно солить password_hash()?

ну в документации же все написано бляд

не нужно

там это даже выделено блоком ВНИМАНИЕ