Découverte

Petite découverte hier, à propos de la nouvelle gestion des mots de passe et qui m’a valu quelques heures de debug/développement supplémentaires : la fonction password_hash() n’est pas constante utilisée avec le même argument.

En clair :

<?php
echo password_hash('toto', PASSWORD_DEFAULT);
echo password_hash('toto', PASSWORD_DEFAULT);

Donnera, par exemple, quelque chose comme :

$2y$10$e3UyACmibV5AVOQe/sJfYuYZl7kt1RCuitGXzvjGvTrMTDiZsaVk.
$2y$10$BMWvv8NUoWCmPZL.8RQ0N..PS.4X5GoAdwm66yWoNRjrR3bZMEAYG

Vous voyez la différence ?

Du coup on ne peut plus se baser sur cette fonction pour construire une clé (par exemple) et la comparer avec une autre stockée et qui aurait été construite de la même manière !

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13598

Haut de page