Ho usato la funzione sha1()
per la password hash prima di inserirla nel mio database. Ma ho questa procedura in modo che non sia la password da sottoporre a hash.
La mia pagina registrava un utente con la sua password. Dopo l'invio, inserirebbe prima il nome utente nel database, quindi ottenere l'ID univoco di tale nome utente. Quindi il sistema lo combinerà con la password.
$password = $userid.$password;
Quindi usa sha1()
per cancellare la password:
$password = sha1($password);
Quindi aggiorna la password nel database con tale ID.
Ho usato l'id utente come un salt.
Domanda
Questa è una buona tecnica? Anche se gli unici utenti del sistema sono gli altri reparti della nostra azienda, penso che sia abbastanza per loro secondo me.
E se avessi un progetto importante in futuro che richiederebbe una maggiore sicurezza della password, sarà sufficiente? Grazie!