Q_BASIC
Хранитель порядка
- Регистрация
- 30 Ноя 2013
- Сообщения
- 516
- Реакции
- 1.240
- Автор темы
- #1
Приветствую,
Хорошо ли использовать в качестве CSRF токена результат password_hash() ?
Думаю, сделать csrf() и csrf_verify() один на основе секретного ключа + ip адреса + имени браузера генерирует код, другой с этой строкой проверяет.
Но по результату функции можно тип хеширования определить любому, а из этого уже можно выводы делать.
К примеру, версию PHP определить, если в разных версиях будут доступны разные алгоритмы.
Вроде и мелочь, а не приятно
Хорошо ли использовать в качестве CSRF токена результат password_hash() ?
Думаю, сделать csrf() и csrf_verify() один на основе секретного ключа + ip адреса + имени браузера генерирует код, другой с этой строкой проверяет.
Но по результату функции можно тип хеширования определить любому, а из этого уже можно выводы делать.
К примеру, версию PHP определить, если в разных версиях будут доступны разные алгоритмы.
Вроде и мелочь, а не приятно