แบบฟอร์มเข้าสู่ระบบที่ฉันกำลังดำเนินการอยู่ตอนนี้ใช้ที่อยู่อีเมลและรหัสผ่านของผู้ใช้ในการเข้าสู่ระบบ ดังนั้นฉันจึงคิดว่า มีเหตุผลใดบ้างที่ฉันไม่ควรใช้ bcrypt กับที่อยู่อีเมลเป็น:
$email_hash = password_hash($email, PASSWORD_DEFAULT);
ฉันรู้ว่ามันมีไว้สำหรับรหัสผ่าน แต่อะไรล่ะ? ควรทำงานกับอีเมลด้วย... หากใช้อีเมลในการเข้าสู่ระบบ ไม่ควรแฮช/ใส่เกลือเหมือนกับรหัสผ่านใช่ไหม ฉันรู้ว่านี่ไม่ใช่วิธีปฏิบัติมาตรฐาน แต่ไม่เคยเข้าใจว่าทำไม
ฉันไม่จำเป็นต้องทราบที่อยู่อีเมลของผู้ใช้ ฉันหมายความว่า มันไม่ใช่ว่าฉันจะคุยกับพวกเขา บางทีเมื่อผู้ใช้ถูกแบน ฉันควรแจ้งให้พวกเขาทราบทางอีเมล แต่ทำไมต้องแจ้งกับพวกนอกกฎหมายตั้งแต่แรกด้วย
password_hash
คุณจะได้รับค่าที่แตกต่างกันในแต่ละครั้ง ดังนั้นวิธีเดียวที่จะค้นหาบันทึกผู้ใช้คือลองแต่ละรายการ แฮชและดูว่าตรงกันหรือไม่ - person Arjan   schedule 22.04.2016password_verify()
สำหรับที่อยู่อีเมลด้วย - person Jay Blanchard   schedule 22.04.2016