Dass eine Datenbank gegen Fremdzugriffe sicher sei, haben schon ganz andere gedacht; Meldungen über den Verlust von Kundendaten gehen regelmäßig durch die einschlägige Presse. Zuletzt traf es einen größeren Versandhändler namens Pollin, dem wohl eine sechsstellige Zahl an Datensätzen entfleuchte.
Da gehe ich zu fast 100% mit. Einziger Zweifel: War Pollin der wirklich die zu letzt getroffene Bude? Das wird mit jedem beliebig kurzem Zeitabschnitt unwahrscheinlicher.
Aus dem gleichen Grund –den Aufwand für vorberechnete Tabellen so groß wie möglich zu machen– wird die Summenbildung gerne etliche Male mit sich selbst wiederholt:
Ja. Aber nicht, jedenfalls nicht ohne Not, selbst erfinden.
Zuerst Passwort und Kombinationswert verbinden, Prüfsumme aus der Kombination bilden. Dann die entstandene Prüfsumme mit dem Kombinationswert verbinden und wieder die Prüfsumme bilden, dies x-mal wiederholen.
Nein! Nichts Eigenes erfinden - jedenfalls nicht ohne Not. Und die herrscht gerade nicht mehr, denn:
- password_hash(),
- password_verify(),
- password_needs_rehash(),
- und, ach, auch password_get_info()
existieren nunmehr schon recht lang und kümmern sich auch um das "salzen" - was aber der noch älteren Literatur nicht bekannt ist. Findet man Funktionen wie md5() oder sha1() (oder eben die Speicherung im Klartext oder eben solche eigenen Konstrukte, dann gilt es das Buch zuzuschlagen oder sich eine andere Webseite zu suchen.
Der im Prinzip sehr gut mögliche Nachbau der obigen Funktionen mit cyrypt() und ein wenig Zauberei mit Zufallsfunktionen und Zeichensalat um einen ausreichend zufälligen Salt zu bauen ist inzwischen zeitlich überholt, man sollte dann lieber ein Update der PHP-Installation in Angriff nehmen.
Dann wäre da noch die Sache mit dem Speicherort der Zugangsdaten zur Datenbank. Die gilt aber auch für Dateien mit gehaschten Passwörtern.