phpass和hash_hmac有什么区别?

时间:2011-03-05 18:54:49

标签: php security cookies

我正在尝试将密码存储在Cookie中。 Stackoverflow似乎推荐hash_hmac,但wordpress使用phpass?

从安全角度看应该使用哪些差异?

1 个答案:

答案 0 :(得分:4)

这是一个非常糟糕的主意。您应该使用session_start(),它会为您完成所有操作,然后您可以使用$_SESSION来存储有关该用户的信息。如果您在数据库中存储密码哈希并将其用作cookie,那么您完全破坏了哈希密码的目的。攻击者可以使用sql注入来获取哈希,然后只需登录而不必破解哈希。

几年前,Wordpress很容易受到攻击。该代码库存在一些非常严重的安全问题。