可能重复:
使用随机盐改进密码散列
是否有有效的安全理由来生成随机盐,然后将其存储在与密码和静态盐相同的数据库中?
例如:
$hashedPass = crypt($pass, $staticsalt.createRandomSalt());// just an example for sanity
$user->setPass = hashedPass;
$hash->setSalt = createRandomSalt();//assuming same result...
我知道安全社区建议对哈希使用现有列(如用户名),但我真的没有看到任何意义。如果数据库被黑客入侵,攻击者也会获得用户名......而如果它位于单独的列/表中,我可以加入额外的安全措施。