szQocks, это скорее всего не так работает, пароль подобранный по хешу 100% подойдет, проверять на сервере не нужно, ведь хеш сошелся. Он не подойдет только если есть защита соль. Но соль тоже могут украсть. Вообще-то чтобы это все работало нужно украсть базу данных.
szQocks, видимо если хеши украдут md5 проще подобрать пароль, чтобы сошелся. Но это решается думаю, соль и всякие хитрости. Взлом это усилия, нужно понимать уровень и будут ли потрачены усилия на взлом пользователя нонейм сайта и чем это может грозить. Тут все перестраховщики, любая вероятность 10 в минус 8 процента это руководство к немедленному действию и повод загнобить веб-мастера как рукожопа, неадеквата и сумасшедшего.
дедлоки неприятная штука, изучи как они случаются. я тоже давно боролся, но уже подзабыл. Назначь как минимум id индексным ключом или первичным и делай update where только по нему и в крайнем случае можно делать блокировку записи перед взаимодействием с таблицей или отлавливать исключение и повторять, как-то так я решал.
Сергей delphinpro, есть такое, я когда ушел с Ulogin добавил 6 способов, у меня все пользователи из России, все эти api соц-сеток как будто скопированы друг у друга, разницы ноль. А вот при добавлении способа с паролем приходится много учитывать, и.. я его вообще убрал. Пока никто не жаловался.
По номеру телефона тоже модно, но придется опять выводить его в отдельную категорию и sms платные, у меня есть тариф на 300 штук не хватает. Еще освоил WebAuthn но это просто очень интересно стало.
Сергей delphinpro, вообщем есть Ulogin там что-то точно имеется. Но я с него ушел, и никому не советую. Есть старые статьи этого блогера rusakov, и все рабочее, просто серьезно по ним проще, все популярное собрал в одно. Все люди сейчас чем-то пользуются. Соцсеть это условно, тот же яндекс и гугл.
Или забыть о паролях и использовать вход через соц-сети. Дешево и удобно. Есть способы и подороже. Тут главное объяснить пользователям, что их больше нет.
У меня примерно также, только без соли. Вообщем если я что-то шарю в криптографии, а почти ничего, надо переделать хеши в базе данных, а для этого нужны исходные пароли юзеров, которые я например не храню, а значит никак. А если пароли есть - то плевое дело, сделать update таблице и обновить код php
Максим Припадчев, ага, я школьником тоже слышал ставь все время на красное и проиграв увеличивай вдвое. А еще когда стратегия срабатывает, там просто отрезают пальцы или голову.
Все. Сценарий пробегает по одной папке вложений, и проверяет их. Не важно, кому эти файлы принадлежат.
Тогда нужен бот, если это работает через движок. Но нужно как-то отфильтровать, чтобы другие посетители не запускали сценарий не грузили сервер. Может по секретному ключу в get-параметре или ip-адресу.
Slash, вариант который запускает пользователь сайта, но не при каждом посещении (крон имеется ввиду синхронизация со временем) вариант в принципе рабочий (если других нет) Если все так плохо, тут пользователь удаляет только свои вложения или все ? Если все нужен бот хоть по обычному крону, но http запрос к сайту по url. Если только свои вложения надо править код, просто не выводить никакие ошибки или все-таки аякс. В любом случае это велосипед, но что поделать.
Slash, проверка запускается либо по крону либо пользователями сайтов (что неразумно). Проверяйте по крону и удаляйте вложения. А когда отдается страница проверок не нужно, лишь правильно генерировать страницу, не выводя ошибок, для этого надо убрать предупреждения php и возможно поправить код который выводит html.