Riguarda all'abitudine di qualcuno (non mia) di scrivereOriginariamente inviata da k.b
echo "ciao utente".$utente." come sei bello";
e dentro $utente uno può metterci di tutto (se non lo controlla blablabla).
Se $utente che arriva dal client vale 012923AABBDBDEE2323 hai voglia a metterci dentro un link a un sito
Di nuovo solo una precauzione, non una pallottola magica
Non voglio fare tante iterazioni, quanto evitare le rainbow table.- se si vuole fare le cose per bene allora non ha senso fare SHA1(SHA1(SHA1... n volte perche' SHA1 e' comunque un algoritmo estremamente rapido anche per molte iterazioni, la soluzione piu' sicura e' bcrypt
I programmi di crittazione lo fanno anche per 50.000 o più iterazioni, e da javascript non è che sia poi così veloce (anzi non lo è affatto).
E, soprattutto, è poi difficile fare una query del genere (o meglio dovrei far pre-calcolare le varie iterazioni SHA1 e fare una ricerca con quello).
Ma ci vuole più codice (e quindi potrebbe essere sbagliato e dare altre porte per entrare), mentre con le SHA1 "incapsulate" faccio una query SQL punto e basta (meno il codice di sicurezza è lungo, meglio è)
Magari non è l'approccio migliore, però per ora mi sembra che abbia il suo "perchè".
Rispondi quotando