Hallo localhorst,

ich glaube, ich habe das was falsch im Kopf gehabt. Die password_hash Funktion bekommt keinen Key.

Aber die md5-Funktion solltest Du dringend entfernen. md5 gilt als gehackt.

Heißt: der Login-Tabelle ein Feld hinzufügen das ein Kennzeichen für die verwendete Hashfunktion enthält.

User, die sich anmelden und einen MD5 Hash haben, werden zur Kennwortänderung aufgefordert. Bei der Änderung wird nach neuem Verfahren gehasht.

Du kannst natürlich auch still und heimlich beim Login das Passwort rehashen und den neuen Hash in die DB schreiben. Aber da ein md5-Hash als kompromittiert zu betrachen ist, würde ich das als weniger sicher bezeichnen.

Rolf