Login-script -- Mit wie viel Euro muss ich rechnen wenn jemand von euch mir das programmiert?
bearbeitet von Indianerversteher**Nochmal:**
Die Kompatibilität zu PHP 5.3 wurde(sic!) **in der 2016er Version** dann und nur dann hergestellt, wenn es password_hash() nicht gibt was aber ab PHP 5.3 der Fall (dann werden ja die Ersatz-Funktionen für password_*() erzeugt) ist.
Logische Folge: **Die Kompatibilität zu PHP 5.3 wurde nur in Versionen kleiner als 5.3 hergestellt.**
Mir wurde auch nahe gelegt, für die Ersatzfunktionen `random_int()` zu verwenden, welches erst ab PHP 7.0 verfügbar ist.
Das kann, wie beschrieben, nicht funktionieren.
**Zur Sicherheit:**
* Wenn das Skript mit PHP 5.2 oder früher interpretiert wurde, dann wurden die Passwörter mit meinen Ersatzfunktionen deutlich sicherer gehascht als mit den damaligen Möglichkeiten von PHP.
* Wenn das Skript mit PHP ab Version 5.3 ausgeführt wurde, dann wurden und werden die Passwörter mit den Password-Funktionen von PHP gehasht. Damit hat mein Skript beim Ablauf in diesen Version die Sicherheit zwar nicht verbessert - **aber ganz gewiss auch nicht verschlechtert.**
* Und wieso soll ich, bitte, dafür verantwortlich sein wenn anno 2019 jemand meine Skript auf veralteten Installationen mit nicht mehr unterstütztem PHP und womöglich nicht mit (vollständig sicher konfiguriertem) HTTPS und auch sonst nicht optimal konfigurierten (session.cookie_httponly=0) Servern laufen lässt und mir die Vorhaltung machen lassen, dass mein Skript unsicher sei, weil *DAS* geht?