Ciao,
vorrei salvare in un db una password criptata tramite password_hash().
Ho letto nel manuale che è diventata un’azione deprecata quella di creare un salt casuale e poi passarlo alla funzione stessa. Meglio lasciare che sia password_hash() a crearsene uno.
In questo topic “Collegare controllo password form a login” (alla risposta #6) leggo: “Non serve fare nuovamente l'hash. La funzione password_hash() restituisce, oltre all'hash, tutto ciò che serve per la verifica. “
Significa che non serve più salvare nel DB anche il salt? (generato automaticamente da password_hash() e che non saprei come recuperare)
Se è così, allora non posso più confrontare la password ricevuta dall’utente (criptata prima del controllo di uguaglianza) con quella nel db (anche lei criptata) con una query “SELECT …. WHERE campo_password_criptata=$password_ricevuta_e_cript ata” ?
Devo per forza estrarre dal db la password criptata per eseguire il controllo di uguaglianza tramite password_verify() (ci penseranno password_hash() e password_verify() a scambiarsi il giusto salt)?
Grazie.
Rispondi quotando