PHP 中的哈希和安全措施

Question

我已经阅读过有关如何使用散列在网站中实现安全性的内容，并且我并没有创建像银行或存储信用卡这样非常敏感的东西。但是，我想知道最佳实践。我的网站有一个 AES 256 的 TLS 证书

主要问题：

1.) 通过会话再次发送经过哈希处理的密码似乎是我能想到的保持会话相当安全的唯一方法。在我看来，我并不真正关心用户是否找到该值，但我会关心用户是否找到某种方式来查看数据库并确切地知道我的加密算法是什么。

2.) 我应该在对密码进行哈希处理之前完全删除我的算法，还是应该使用不同的哈希方法？

在 bcrypt 之前或之后使用 sha512 是否可以，因为就碰撞和暴力而言，这两种方法都是合理的？

Answer 1

就我个人而言，我只是在登录时使用 SHA512 密码进行存储和比较，并且为了进行会话跟踪，我存储了 hash('sha512', $username.$salt.$password); 密钥，该密钥存储在会话并与数据库中的用户密钥进行比较以验证其会话。

我还没有遇到任何与此相关的安全问题，除非您知道用户的用户名、密码和用户盐（显然不应该存储在数据库中），否则不可能伪造密钥，所以应该是只要有人无法访问您的数据库和代码，就安全（在这种情况下，您会遇到比保护用户密码更大的问题；））