Warum man ignorieren sollte, was in der PHP-Doku steht.

Dafür, und den will ich noch mal herausstellen, gibt es einen Grund:

(1)
Ich bin nicht zu doof um als Themenbereich "PHP" auszuwählen. Ich habe aber "Programmiertechnik" ausgewählt. Hat mal jemand darüber nachgedacht, warum?

(2)
Die Überschrift lautet: "Das, was heise vorschlug in einf. Code gegossen"
Es geht also um einfachen und verständlichen Code ohne zu viele "schwarze Boxen". Das "einf." musste ich abkürzen. Kann natürlich sein, dass es zu schwer war zu erraten, was ich damit meine. Nämlich einfachen also verständlichen Code, bei dem nicht jeder die Dokumentation und reichlich Drittquellen bemühen muss.

(3)
Ich schrieb über dem Code: "Das was heise vorschlug, läuft übrigens auf etwas wie das hier heraus:"
Noch mal: "ETWAS WIE DAS HIER"

(4)
Meine Fragen an Dich:

Habe ich damit irgend jemanden gesagt, er soll es so und nicht anders machen?

• Meine Ansicht: Das habe ich nicht.

Habe ich damit irgend jemanden gesagt, das Skript soll jemand so verwenden?

• Meine Ansicht: Das habe ich nicht. Das geht auch gar nicht daraus einiges zu löschen.

Habe ich gesagt, dieses sei die einzige, richtige und wahre Lösung?

• Meine Ansicht: Das habe ich nicht.

Habe ich dargestellt, dass es darum geht, WIE (sic!) man Passwörter zum Zweck des Speicherns salzt und mehrfach hashed?

• Meine Ansicht: Das genau habe ich sehr wohl getan!

Habe ich was falsch gemacht, also ich funktionierenden PHP-Code präsentierte?

• Meine Ansicht:  Nein. Die Menschen lernen am besten an praktischen Beispielen. Man kann damit nämlich herumspielen, sich Ergebnisse ansehen etc. pp.

Habe ich was falsch gemacht, also ich auf sehr spezielle und bei vielen noch nicht einmal verfügbaren Funktionen verzichtete?

• Meine Ansicht:  Nein. Ich wollte ja zeigen, WIE es PRINZIPIELL geht.

(5)
Das die von euch benannten, speziellen und teils noch gar nicht auf den Webservern verfügbaren PHP-Funktionen (eigentlich: Funktionsmäntel) wie hasch() und hash_pbkdf2() letztendlich auch noch der gleichen oder einer ähnlichen Implementierung bedürfen und bei denen zudem ohne die weiteren von mir gezeigtes Informationen die Gefahr besteht, dass diese falsch angewendet werden und deshalb zu unsicheren Ergebnissen führen zeigt mir, dass auch die Kritiker der Elche selber welche sind.

Das mit dem Salt halte ich für ausdiskutiert. In meinem Beispiel sind es 32 Zeichen aus einer Auswahl von 92. Einem so schlechten Zufallsgenerator, der hier binnen etlicher Billionen Versuche einen salt zweimal erzeugt, den gibt es auch in PHP - jenseits auf die Version beschränkter Bugs - nicht.

Jörg Reinholz