Du willst auf kaputter Softwaregrundlage keine Reimplementierung relevanter Hashing-Algorithmen bauen. Es ist unmöglich, bcrypt nativ in PHP zu implementieren - der Laufzeitunterschied zur C-Variante wäre vermutlich recht hoch, was dazu zwingen würde, einen deutlich kleineren Kostenfaktor zu wählen - das gefährdet aber die Sicherheit. Dasselbe gilt für alternative Hash-Algorithmen.

So ist es.

Allerdings könnte man (wenn man wöllte), um das Problem auzunullen, für PHP-Versionen unterhalb 5.3.7 sogar eine recht einfach erscheinende Lösung anbieten:

"In versions of PHP older than 5.3.7, $2a$ inadvertently resulted in system-specific behavior for passwords with non-ASCII characters in them."

(Einfach keine Nicht-ASCII-Zeichen zulassen).

Ich vermute aber, dass ich dazu auch wenig Lust hätte. Kann man vielleicht, wenn es sich irgendwie anbietet, vielleicht irgendwo in den Beschreibungstext aufnehmen, denn so relevant dürften PHP-Versionen unterhalb von 5.3.7 auch nicht sein. Äh. Hoffe ich.

Merkzettel:
In Setup-Skript aufnehmen, Warnung ausgeben.

Jörg Reinholz