setcookie関数で使用するために(永続的なログインメカニズムを設定するために)ユーザー名をハッシュします。
sha1でユーザー名をハッシュするだけで十分ですか、それともより高度なソリューションに頼るべきだと思いますか?
PHPpassについて聞いたことがありますが、より高度なものであるため、これはパスワードにのみお勧めです。
どう思いますか?
回答:
回答№1は1sha1は大丈夫だと思います。ユーザー名に文字列を追加または追加して、sha1ハッシュを実行します。それは動作します。
回答№2の場合は1
永続的なログインは、攻撃者が知ることができる情報に基づいてはいけません。
永続的なログインを使用する必要がある場合は、次のことが必要です。そのCookieに割り当てる一意の暗号的にランダムな値を作成し、照合するデータベースに一致するレコードを作成します。 Unixベースのオペレーティングシステムを使用している場合、/ dev / urandomはソースとして最適に機能します。本当にランダムなデータの優れたソースを見つけることができない場合、PHPのuniqid関数で十分です。
攻撃者からの半永久的な固定を防ぐために、最初の訪問のたびに新しい永続的なトークンを生成することもおそらく良い考えです。