Der er nogle punkter, der kan forbedres, men først vil jeg anbefale at bruge PHPs nye funktion password_hash() . Denne funktion vil generere et sikkert salt og inkludere det i den resulterende hash-værdi, så du kan gemme det i et enkelt databasefelt. Der findes også en kompatibilitetspakke for tidligere versioner.
// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($password, $existingHashFromDb);
Nogle tanker om din kode:
- Du genererer en BCrypt-hash med crypt(), så saltet vil være en del af den resulterende hash. Det er ikke nødvendigt at opbevare det separat.
- Genereringen af saltet kan forbedres, brug den tilfældige kilde til operativsystemet MCRYPT_DEV_URANDOM.
- Hvis du ville ændre omkostningsfaktoren til 9, ville formatet blive ugyldigt, fordi krypten forventer to cifre.