我想知道如果
password_hash("custompassgoeshere", PASSWORD_BCRYPT)
足够安全,可以将密码存储到数据库中,或者我是否应该在其中添加更多的 SALT(我在想用户的用户名/电子邮件/出生日期/等等)。
谢谢!
问问题
860 次
1 回答
3
Bcrypt 本身就足够安全。确保将迭代/成本提高到足够高的水平(但对于您的服务器来说不会太慢)。您可能需要测试一些值来测试可接受的散列时间。
您不需要对密码加盐,Bcrypt 会自动为每个哈希生成唯一的盐,并将其与哈希一起存储。
请参阅:bcrypt 如何具有内置盐?
于 2014-04-21T23:46:07.040 回答