szQocks, разные случаи, я знаю хосты где само инфо в базе важнее паролей, но у кого-то пароль больное место. А что в украденной базе и так все инфо о пользователе никого не волнует.
szQocks, Например в давние времена в базе хранили сами пароли и не всегда это плохо - если базу данных не украсть. Ведь украсть базу данных сложно хоть с сервера пентагона хоть с моего дома - конечно преувеличил, но примерно так. Вот и думай будет кто тратить силы на это.
szQocks, это скорее всего не так работает, пароль подобранный по хешу 100% подойдет, проверять на сервере не нужно, ведь хеш сошелся. Он не подойдет только если есть защита соль. Но соль тоже могут украсть. Вообще-то чтобы это все работало нужно украсть базу данных.
szQocks, видимо если хеши украдут md5 проще подобрать пароль, чтобы сошелся. Но это решается думаю, соль и всякие хитрости. Взлом это усилия, нужно понимать уровень и будут ли потрачены усилия на взлом пользователя нонейм сайта и чем это может грозить. Тут все перестраховщики, любая вероятность 10 в минус 8 процента это руководство к немедленному действию и повод загнобить веб-мастера как рукожопа, неадеквата и сумасшедшего.
дедлоки неприятная штука, изучи как они случаются. я тоже давно боролся, но уже подзабыл. Назначь как минимум id индексным ключом или первичным и делай update where только по нему и в крайнем случае можно делать блокировку записи перед взаимодействием с таблицей или отлавливать исключение и повторять, как-то так я решал.
Сергей delphinpro, есть такое, я когда ушел с Ulogin добавил 6 способов, у меня все пользователи из России, все эти api соц-сеток как будто скопированы друг у друга, разницы ноль. А вот при добавлении способа с паролем приходится много учитывать, и.. я его вообще убрал. Пока никто не жаловался.
По номеру телефона тоже модно, но придется опять выводить его в отдельную категорию и sms платные, у меня есть тариф на 300 штук не хватает. Еще освоил WebAuthn но это просто очень интересно стало.
Сергей delphinpro, вообщем есть Ulogin там что-то точно имеется. Но я с него ушел, и никому не советую. Есть старые статьи этого блогера rusakov, и все рабочее, просто серьезно по ним проще, все популярное собрал в одно. Все люди сейчас чем-то пользуются. Соцсеть это условно, тот же яндекс и гугл.
Или забыть о паролях и использовать вход через соц-сети. Дешево и удобно. Есть способы и подороже. Тут главное объяснить пользователям, что их больше нет.
У меня примерно также, только без соли. Вообщем если я что-то шарю в криптографии, а почти ничего, надо переделать хеши в базе данных, а для этого нужны исходные пароли юзеров, которые я например не храню, а значит никак. А если пароли есть - то плевое дело, сделать update таблице и обновить код php
Максим Припадчев, ага, я школьником тоже слышал ставь все время на красное и проиграв увеличивай вдвое. А еще когда стратегия срабатывает, там просто отрезают пальцы или голову.
Все. Сценарий пробегает по одной папке вложений, и проверяет их. Не важно, кому эти файлы принадлежат.
Тогда нужен бот, если это работает через движок. Но нужно как-то отфильтровать, чтобы другие посетители не запускали сценарий не грузили сервер. Может по секретному ключу в get-параметре или ip-адресу.