Hvis bruger vil ændre password så: - checker du det gamle password først - derefter hasher du det nye password helt på samme måde som da han blev oprindeligt oprettet og gemmer det hashede password - det er optional om du vil bruge samme salt eller generere et nyt
Ikke fordi det har den helt store betydning, når man husker at salte sin hash, så vil jeg anbefale at du ikke bruger MD5, der er meget sårbar overfor collisions, og benytter dig af en SHA algoritme istedet.
Generelt er MD5 forældet, så det ville være godt at bruge SHA-256 i stedet for.
Synes godt om
Slettet bruger
03. marts 2009 - 08:41#7
hej... ah ja...
problemet var, at jeg viste det gamle password i input-feltet: <input type="password" name="form_password" value="<?php echo $md5_salted_password_fra_database; ?>">
Dvs siden salter et allerede saltet password, så hvis man ikke ændrede password'et i forumularen (men eks. kun ens email-adresse) - så ændrede siden alligevel ens password.
Hvis value = "" i password-feltet er der så ingen problem.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
