Originariamente inviato da andrea.paiola
il prodotto tra matrici è più sicuro perchè è irreversibile, in linea generale
quindiu è un hash, non un crypt ... per l'appunto, poichè anche sha1 e md5 sono hash one way


Originariamente inviato da andrea.paiola
e tra l'altro fare sha1(sha1($salt).$pass) non è più sicuro che fare sha1($salt . $pass): anche se hash sempre una stringa fissa è e avendo un buon numero di password permette di fare l'analisi e quindi trovare il salt ( hashato o meno ) relativamente facilmente
la salt non la invii .. e se hashata, puoi analizzare quello che ti pare ma si da il caso che la salt è la stringa scelta dallo sviluppatore sul server, ergo non sarà la stringa "Alex", bensì qualcosa tipo "sj8(%$_34/8_321aAFTA,sac.:" ... ecco questa è una salt, non è in pasto agli utenti e adesso cerca su google il suo hash e dimmi quanti ne trovi (per altro in sha1, che non è md5) ... vero è che puoi trovare collisioni, quindi con questa stai ancora più sicuro?
return sha1(sha1($salt).$salt.$pass);

ammesso trovi la collisione con questa ne devi trovare due in una e mi sembra alquanto improponibile come casistica ... ma è un argomento già trattato non so quante volte sul forum ... il punto è che aggiungere un hash one way sopra un hash one way mi sembra ridondante, poco performante, inutile se non si sta in SSH, e per concludere altrettanto poco utile se qualcuno è entrato nel database e la paura è quindi: oddio può vedermi le password hashate ... più che altro oddio, adesso fa quello che gli pare???!!!

Se invece il tutto è per evitare che in output venga mostrato il risultato di questa operazione ... beh, l'errore è a monte, non sul database, ma a quel punto di crateri ce ne sono già troppi.

Insomma, non ho capito dov'è la maggiore sicurezza ... tu mi dici: faccio questo perchè è irreversibile, io ti dico: guarda che quello che facevi prima lo era altrettanto ... ergo come google trova l'md5, non per magia, io posso ciclarmi nel tempo varie combinazioni e farmi un db di risultati "cript paiola", è la stessa cosa, no? ... si

(in soldoni proponi di fare md5(md5($qualcosa)) invece di md5($qualcosa), aggiungendo solo un'altro strato one way sopra)

P.S. implode ... primo argomento $glue, e poi array ... oggi funziona anche senza glue, domani non ne siamo sicuri, ergo perchè rischiare?