On Fri, 28 May 2010 21:38:07 +0100, Colin <c...@c...tk> wrote:

>> Jak już co, to hasha hasła.
>
> Możliwe że bezpieczniej jest nie hashować haseł w cookie.
>
> Jak ktoś zna hash hasła (ukradł z bazy w jakiś sposób), ale nie zna
> samego hasła, to nie powinien mieć możliwości zalogowania się.

Ale nikt ci nie każe naśladować błędów WordPressa :)

$salt = random();
$cookie = $salt . hash($password . $salt);

Można by jeszcze do hasha dorzucić datę ważności i wersję cookie z bazy,
żeby nie dało się przedłużać życia cookie i żeby dało się unieważnić
wszystkie istniejące hashe jedną zmianą w bazie.

--
http://pornel.net
this.author = new Geek("porneL");