在阅读了有关php中会话管理的一些主题之后,我开始进行这个安全性讨论,看看:https: //paragonie.com/blog/2015/04/secure-authentication-php-with-long-term-persistence#title. 2
引用章节:胡椒还是胡椒?
一个更好的解决方案,在使用硬件分离时尤其有用,是在将哈希值插入数据库之前加密哈希值.有了这个安全措施,即使攻击者找到了转储所有数据库表的方法,他们首先必须解密哈希值才能开始破解它们.将PHP和数据库放在不同的硬件上,这会变得更加安全.
在本文中,共享https://github.com/defuse/php-encryption的链接...
到目前为止,我只使用password_hash()来将密码存储在数据库中.是否可以加密哈希本身?你怎么看?
谢谢你的想法!