Crittografia password per PHP 5.3 o dovremmo aggiornare a 5.5+?

Naviga le tue risposte
1

Sto provando a eseguire hash delle password per il sito della nostra azienda. Dopo aver provato su un server Apache locale che ha PHP 5.5.9 e tutto funziona come previsto, sono andato a testare sul nostro server live ospitato da GoDaddy. Il problema è che quando eseguo il mio codice lì, non funziona. Una dichiarazione phpinfo() ha rivelato che la versione è PHP 5.3.24 .

Questo presenta un piccolo problema perché le funzioni di hash moderne che vedo per PHP, come password_hash() , sono state scritte in PHP 5.5 o versioni successive. Non vedo davvero molte risorse per la crittografia della password per qualcosa di più vecchio di 5.3.7 e penso che sia probabilmente il più saggio da aggiornare.

Esistono funzioni di hashing della password PHP per 5.3.24 o dovrei chiedere al mio capo di considerare l'aggiornamento del server? A parte l'accesso al server Apache locale, il server GoDaddy è fuori dalle mie mani eccetto per l'accesso FTP, quindi non ho idea se questo è qualcosa che possiamo aggiornare o meno.

    
posta 8protons 07.06.2016 - 19:26
fonte

2 risposte

6

L'aggiornamento all'ultimo ramo PHP stabile supportato è il percorso semplice e semplice.

Detto questo, hai notato che sei con GoDaddy. Quali dei loro servizi stai usando per il progetto? Se è la loro linea di hosting condivisa, o qualsiasi linea che offre cPanel, l'aggiornamento delle versioni di PHP non dovrebbe aggiungere nulla ai costi correnti. Qualsiasi provider di hosting web con buon senso dovrebbe essere in grado di eseguire facilmente EasyApache, l'utilità integrata di cPanel per l'aggiornamento e l'aggiornamento di Apache, PHP e vari altri software.

Se utilizzi un VPS, un Cloud Server o un Server dedicato, quanto sopra si applica ancora se stai utilizzando cPanel. Se stai eseguendo barebone e qualcuno gestisce tutto dalla CLI (bello!), L'aggiornamento richiede più tempo, anche se non di molto. Avranno bisogno di assicurarsi che i pacchetti corretti siano installati prima della compilazione, oppure, potrebbero semplicemente utilizzare i pacchetti integrati offerti da upstream.

Anche se ti affidi a certi pacchetti, è probabile che i depositi a monte possano soddisfare le tue esigenze. In caso contrario, è sempre possibile creare un pacchetto esistente.

Detto questo, se il tuo capo è impreparato ad attaccare con versioni datate, quando si parla di PHP 5.3.7+, farò riferimento a ircmaxwell e paragonie, entrambi disponibili su GitHub.

password_compat - link

Lo scopo di questa libreria è di "... fornire una compatibilità diretta con le funzioni password_ fornite con PHP 5.5 ."

random_compat - link

Lo scopo di questa libreria è fornire supporto PHP 5.x per random_bytes() e random_int() (da PHP 7.x). Questa non è un'alternativa a password_compat, è semplicemente un altro livello di compatibilità che ti permetterà di portare funzionalità che non sarai in grado di usare (a meno che tu non sia in grado di eseguire l'upgrade, ovviamente).

Nota : se intendi utilizzare random_compat, assicurati di utilizzare una versione stabile anziché quella principale (come indicato dall'autore).

github.com/paragonie/random_compat/releases/tag/v2.0.2

    
risposta data 07.06.2016 - 21:26
fonte
0

accedi al tuo account godaddy accedi a I miei prodotti > > C pannello di hosting quindi sotto software clicca su "seleziona versione PHP" e quindi seleziona php 5.5 o successivo ...

    
risposta data 26.12.2016 - 07:42
fonte

Leggi altre domande sui tag

Come funziona l'attacco nel mezzo al doppio DES? Perché alcuni siti web ti dicono che usano i cookie? [chiuso]