соль в хеш

@НиколайВасильев · Регистрация: 02.12.2015

Студворк — интернет-сервис помощи студентам

Попался чужой код
$myname и $mypassword через post приходят из формы.

PHP/HTML
1
2
3
4
5
date_default_timezone_set('US/Eastern');    
$currtime = time();                         
$datefordb = date('Y-m-d H:i:s', $currtime);
$salty = dechex($currtime).$mypassword;     
$salted = hash('sha1', $salty);

Дальше автор использует
INSERT INTO info (user, password....)
VALUES ($myname, $salted, ...);
Кавычки в mysql я выбросил, для вопроса они не играют роли. Важно только, что в таблицу он всовывает $salted.
Автор пишет, что это работающий код и он использует на своем сайте.
Не понятно, как это может работать, если соль генерируется каждый раз новая от тика часов???

@Para bellum · 01.05.2017, 11:20

Подозреваю, что в базу ещё пишется $datefordb. А при проверке пароля на правильность, это значение вытаскивается и преобразуется в timestamp.

@НиколайВасильев · 01.05.2017, 14:12 **[ТС]**

Para bellum, нет такого поля. Пишут свой пол, возраст, профессия и комментарий.
Пусть пишется еще что угодно, как это клиенту поможет ввести пароль, если в таблицу кроме его пароля попадет хешированная соль, не понимаю.
Допустим было бы $datefordb, тогда это поле не может быть хешированным, т.к. нужно соединить пароль юсера и дату и потом хешировать.

@Para bellum · 01.05.2017, 14:39

Сообщение от НиколайВасильев

нет такого поля

Если нет -- значит скрипт не рабочий. Если бы было -- алгоритм такой:
- Ищем пользователя по email/логину
- Получаем хэш и дату
- На основании полученной даты хэшируем введённый пароль и сравниваем с хэшем из базы.

@НиколайВасильев · 01.05.2017, 17:37 **[ТС]**

Para bellum, это ж совсем другое дело. Спасибо!

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	01.05.2017, 11:20
	Подозреваю, что в базу ещё пишется `$datefordb`. А при проверке пароля на правильность, это значение вытаскивается и преобразуется в timestamp. 0

@НиколайВасильев 12 / 12 / 2 Регистрация: 02.12.2015 Сообщений: 620
	01.05.2017, 14:12 [ТС]
	Para bellum, нет такого поля. Пишут свой пол, возраст, профессия и комментарий. Пусть пишется еще что угодно, как это клиенту поможет ввести пароль, если в таблицу кроме его пароля попадет хешированная соль, не понимаю. Допустим было бы $datefordb, тогда это поле не может быть хешированным, т.к. нужно соединить пароль юсера и дату и потом хешировать. 0

@НиколайВасильев 12 / 12 / 2 Регистрация: 02.12.2015 Сообщений: 620
	01.05.2017, 17:37 [ТС]
	Para bellum, это ж совсем другое дело. Спасибо! 0

соль в хеш

Решение