1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'xS??E?X?L????????`,???z?%?????G^-e??Hfꥂ].ؘ^????P?y??????[????k7???q?y' at line 1
Все время ошибки вроде: 1064: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '?Z'?' at line 1
Поскольку функция возвращает строку, тип поля VARCHAR(255). Может '".$t."' надо еще как-то преобразовать?
Вот здесь и кроется минус статической соли: злоумышленник сможет сгенерировать свою таблицу хешей со статической солью и получить значения большинства паролей из базы. Для устранения этого минуса используется уникальная соль к каждому хешу
ссылка
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо
А после этого записываем в бд pass и salt. При авторизации используем уникальную соль для каждого юзера.
В чем профит - если бд угонят, то пассы юзеров будет достаточно проблематично расхэшировать, в отличие от того, если бы мы не использовали соль.
Как известно, с помощью бессмертного wireshark можно спокойно отфильтровать нужные пакетики и узреть в них email и пасс юзера в чистом виде, если, конечно, они не шифруются.
Поскольку на ssl денег нет, то единственный видимый выход - это отсылать пассы постом уже в md5 с помощью js. (или есть другие способы?) например,
У меня не глубокие знания js, поэтому сам проверить не могу , можно ли доверять алгоритмам, предложенным здесь? Ведь с точки зрения клиента - js исполняется-то на его стороне, код виден, можно "подправить".
Тема на самом деле занятная и интересная, на моей памяти только вк (может и фб) использует хэширование пароля перед отправкой.