Почему не корректно работает функция crypt?

Question

[Хуршед Абдужалил]

так получилось что достался проект, там пароль кодируется через функцию crypt. Простестировав нашел баг, если это можно так считать.

$salt = substr('test123', 0, 2);

        echo (crypt('testtest123', $salt)).'<br>';
        echo (crypt('testtest', $salt)).'<br>';
        echo (crypt('testtest1', $salt)).'<br>';

у всех троих результат один, то есть если кто то введет пароль testtest или testtest1 у определенного пользователя с паролем testtest123, то он без проблем авторизуется. Это функция криво работает или как?

Answer 1

[Ivanq]

По умолчанию используется алгоритм DES, то есть обрабатываются только первые 8 символов, а они одинаковые.

https://stackoverflow.com/questions/20875703/why-i...

Вместо этого можно использовать соль вида $6$сольиз16символов ($6$ - SHA512).

Comments

[Хуршед Абдужалил]

проблема в том что пользователей более 100к им всем новый пароль сгенерировать придется?

[Ivanq]

Хуршед Абдужалил, Все пароли в базе уже в DES?

[Хуршед Абдужалил]

Ivanq, crypt('testtest123', $salt) в таком формате

[Ivanq]

Хуршед Абдужалил, А соль как генерируется? Через substr как в примере или что-то разумное с $x$?

[Хуршед Абдужалил]

Ivanq, как в примере к сожалению, только у всех разные соли, но принцип такой же(

[Ivanq]

Хуршед Абдужалил, Ох, ну тогда только сочувствую. :'( Хеши уже одинаковые в базе, значит, придется перерегистрироваться.

Есть, правда, тупой вариант: при входе проверять, что старый хеш совпадает, и если совпадает, генерировать новый и записывать его в базу вместо старого.

[Хуршед Абдужалил]

Ivanq, ну придется сделать рассылку с новыми паролями(
Хотя попробую второй вариант лучше