Илья

vault.centos.org

Сморите по регламенту сайта, каков официальный срок действия пароля (если нет такого, то определяетесь с этим).
1. Создаете в базе новое поле под bcrypt пароль, а также дату смены пароля.
2. Делаете авторизацию использующую как md5, так и bcrypt если последняя задана.
3. Разрабатываете систему оповещения для пользователей, у которых истек срок действия пароля.
4. Ставите дату пароля такой же как и дату регистрации пользователя, если не использовали это раньше.
5. При смене пароля пишете только bcrypt, md5 не используете, лучше сделать поле-флаг, что пользователь менял пароль уже по новой технологии.
В течение пару периодов срока действия пароля будет постепенный переход на новый хэш.
Активных пользователей придется как-то стимулировать, чтобы сменили пароль.
Неактивные будут восстанавливать пароль, например, по email, если они вернутся на ваш ресурс и вы решите когда-нибудь больше не поддерживать md5 хэш.
PS: Принудительно заставлять менять пароль пользователю - это не самый оптимальный вариант. Заменяйте хэш пароля по новому алгоритму, как только получили от пользователя исходный пароль, который валиден по старому алгоритму, например, в процессе авторизации.

Отсортировать параметры и посчитать хэш этого набора любой удобной хэш-функцией

1. выкинуть все локейшены с ошибками. это дикость, ни один нормальный сайт так не делает. ошибки надо показывать либо сразу, либо через сессию. локейшены с ошибками встречаются только у дебилов, которые делают видео на ютубе для других дебилов. не надо так палиться сразу.
2. выкинуть домен из ссылок. ты серьёзно собираешься переписывать все ссылки, когда у тебя сайт с временного домена переедет на постоянный? а потом обратно - когда надо будет потестить локально? header('Location: /AUTH-2/Sign_In/'); достаточно для единственного локейшена, который нужен в этом коде
3. убрать всю эту лестницу иф-ов, делать все проверки на одном уровне. ошибки собирать в массив. перед вставкой в БД проверить массив на пустоту.
4. if ($row->Email != $email) - масло масляное. ты УЖЕ проверил емейл в базе, зачем еще раз проверять?
5. else if($row->Email == $email) { - это уже какой-то совсем адок. Ты УЖЕ проверил, что емейл не совпадает. причем два раза. В else мы попадём, если емейлы совпдают. Ещё раз проверять не надо. Два алкоголика садятся на трамвай, один спрашивает водителя - я этом номере до вокзала доеду? Водитель - нет. Второй алкаш - а я?
6. внизу у тебя ссылка на password_verify, но хэшируешь ты все равно кривым алгоритмом. Не осилил?
7. все эти куличики в песочнице с $client_Code $server_Code - это какой-то адок с точки зрения безопасности. Любой школьник, который не тупее дауна, поломает все твои "сессии" за 5 минут.
8. setcookie("PHPSESSID", $_COOKIE['PHPSESSID'], 0, '/', '.tsecret.net'); - опять совершенно бессмысленная строчка. К чему она? Зачем? Что ты хотел тут сказать? И кому?
9. Разбей это простыню хотя бы на функции. Никакой солид у тебя конечно не получится, как и у Георгий Котов который сам не понимает что это значит. Но хотя бы разделить проверки, запись в бд, и отправку емейла можно.

В целом - из плюсов только нормальная работа с БД, в остальном на троечку, и местами - кол (за дыры в безопасности и отсутствие логики)

в цикле
все операции над массивами производятся в цикле
для перебора массивов в РНР используется оператор foreach

Думаю, это то что вам нужно
https://github.com/phpv8/v8js
https://www.php.net/manual/ru/v8js.examples.php

У вас вопрос неверный.
Вы спрашиваете про отправку через php, а по сути ищете наименее затратный способ.
--
Я себе сделал бесплатный от слова совсем, даже 600 смс и за те не плачу)
правда, железо у меня уже было (домашнее).
---
Нужно:
1. Модем e3372
2. Роутер Кинетик с usb
3. Сим-карта Дэником, которая на тарифе за 0 рублей дает 600 смс просто так, либо мегафон или Yota дают условный безлимит на смс за 50 рублей. По сути блокируют отправку, если превышаешь лимит в час.
4. Белые ip не нужны. Интернет на Сим карте тоже не нужен

Модем прошиваем в hilink, на роутере включаем keendns, добавляем модем к этой службе, при включении будет выдан адрес в сети интернет и ssl, там же в роутере закрываем модем паролем.

Далее к модему можно обращаться не только по локальной сети 192.168.8.1, но и из интернета (спасибо кинетик)

Пишем php код, нужно написать несколько функций (отправка, получение, удаление, получение токена)
Вот пример:

//функция Отправки СМС
function send($sms_phone, $sms_message){
  $xml = auth();
  $options = array(
    CURLOPT_HTTPAUTH => CURLAUTH_BASIC,
    CURLOPT_USERPWD => 'admin:34543sdd4!@0',
    CURLOPT_URL => 'https://modem.ВАШЕ_ИМЯ.keenetic.link/api/sms/send-sms',
    CURLOPT_RETURNTRANSFER => true,
    CURLOPT_USERAGENT => 'Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36',
    CURLOPT_HTTPHEADER => array("X-Requested-With: XMLHttpRequest",'Cookie:'. $xml->SesInfo,'__RequestVerificationToken:'. $xml->TokInfo,'"Content-Type:application/x-www-form-urlencoded; charset=UTF-8"'),
    CURLOPT_POST => true,
    CURLOPT_POSTFIELDS => "<request><Index>-1</Index><Phones><Phone>".$sms_phone."</Phone></Phones><Sca/><Content>".$sms_message."</Content><Length>5</Length><Reserved>1</Reserved><Date>".date("Y-m-d H:i:s")."</Date></request>"
  );
  $curl = curl_init();
  curl_setopt_array($curl, $options);
  curl_exec($curl);
  curl_close($curl);
};

И сама отправка:
send($sms_phone, $sms_message);
На сервере нужно делать проверку номера и спам-защиту:
Проверка можно делать тут, включая ограничения по региону:
rosreestr.subnets.ru/?get=num&num=79152000200
--
Тем самым ваш сайт может слать смс.

Вы можете отправлять и получать СМС в телеграм/из телеграм.
Ничего не платите, если не беспределите, не рассылаете рекламу и не превышаете лимиты

Для клиентов, когда важно передать именное смс, а не циферное, использую www.smsimple.ru
В среднем отправка 2,30 рубля

xdebug+phpstorm (или другая ide, но со штормом лучше). Один раз надо отмучаться и разобраться, дальше будет легче. В качестве API клиента - Postman (там можно настроить, чтобы запрос из него активировал xdebug)

Сама по себе процедура особых вопросов не вызывает и решается при помощи toolkit AcImage.

Зачем для такой простой задачи какой-то тулкит, жрущий память на свои абстракции? Валите фотки в папку, которую по крону лопатит convert (на сервере же наверняка есть ImageMagick?) - и никакие ограничения пыха вас не будут парить в принципе.

perl-style
Почитать можно в мануале
Гуглить просто php string increment. Выдает в частности это.