PHPアプリのどこでもパスワードハッシュにbcryptを使用しています。ただし、データベースで bcrypt を使用するか、php コードで bcrypt を使用するかを選択できます。bcrypt を使用することは他のほとんどのハッシュ オプションよりも優れていると思いますが、データベース内の関数または php 内の関数を介して bcrypt を使用する方が安全ですか?
質問する
953 次
2 に答える
2
2 番目のオプションを選択し、PHP コードで BCrypt ハッシュを計算します。
パスワードを SQL ステートメント内に配置すると、漏洩する可能性がさらに高くなります。最初にデータベースへの接続を安全にする必要があり、それがログ ファイルに記録される可能性があります。
ハッシュを SQL ステートメントに配置すると、アプリケーションへの安全な転送のみを気にする必要があり、残りはハッシュのみが漏洩する可能性があるため安全です。おまけとして、SQL インジェクションとエンコード/エスケープの問題を気にする必要はありません。もう 1 つの利点は、データベース システムに依存せず、BCrypt を実装していないデータベースもサポートできることです (ほとんどのデータベースは BCrypt 機能を提供していないか、拡張機能をインストールするだけです)。
于 2013-09-10T19:44:52.400 に答える