Форма входа, над которой я сейчас работаю, использует адрес электронной почты пользователя и пароль для входа в систему. Итак, я подумал, есть ли причина, по которой я не должен использовать bcrypt для адресов электронной почты, например:
$email_hash = password_hash($email, PASSWORD_DEFAULT);
Я знаю, что он предназначен для паролей, но что с того? Должна работать и с электронной почтой... Если электронная почта используется для входа в систему, разве она не должна быть хеширована/солена так же, как и пароль? Я знаю, что это не стандартная практика, но никогда не понимал, почему.
Мне не обязательно знать адреса электронной почты пользователя. В смысле, я не собираюсь с ними болтать. Может быть, когда пользователя забанят, я должен сообщить ему об этом по электронной почте, но зачем вообще информировать преступников.
password_hash
, вы каждый раз будете получать другое значение, поэтому единственный способ найти запись пользователя — попробовать каждую. hash и посмотреть, соответствует ли это. - person Arjan   schedule 22.04.2016password_verify()
и для адреса электронной почты. - person Jay Blanchard   schedule 22.04.2016