Авторизация и сессии [закрыт]

#веб_программирование #php #пароль #сессия #авторизация

        
             
                
                    
                        
                            Закрыт. На этот вопрос невозможно дать объективный ответ.
Ответы на него в данный момент не принимаются.
                            
                        
                    
                
                            
                                
                
                        
                            
                        
                    
                        
                            Хотите улучшить этот вопрос? Переформулируйте вопрос,
чтобы на него можно было дать ответ, основанный на фактах и цитатах, отредактировав его.
                        
                        Закрыт 4 года назад.
                                                                                
           
                
        
Подскажите, как в наше время делают авторизацию и где хранят сессии. Давно не занимался
сайтами, возможно отстал от прогресса.
Собственно:

Храню пароль в виде md5($salt.$pass.$salt). Вроде их уже легко ломают?
sessionhash=md5(uniqid(microtime()));
Сессии хранятся в таблице MySQL в sissionid, userid, sessionhash
sissionid и sessionhash отдаются в куках.

Как сейчас это делается?    

Ответы

Ответ 1

Данные, хранящиеся на стороне пользователя, надо зашифровать ключом, хранящимся на
сервере.
Тут это разбирается на примере Node.JS и для PHP: Раз и Два


Ответ 2

По пункту 1:
В настоящее время существуют очень эффективные реализации перебора хэшей. Поэтому
даже длинные пароли, подвергнутые однократному хэшированию, перестали быть безопасными.
В версии php 5.5 реализован алгоритм PBKDF2. Его рекомендууется использовать для
получения устойчивых хэшей.  http://php.net/manual/ru/function.hash-pbkdf2.php.


Ответ 3

Советую посмотреть в сторону фреймворка CodeIgniter. Всё удобно, защищено и очень
просто. + Есть библиотека аутентификации и регистрации.