Witam.

Ostatnio troszeczke wziąłem się za sprawe bezpieczeństwa.

Używam następującej funkcji do kodowania haseł:

[PHP] pobierz, plaintext 
 password_hash($_POST['pass'], PASSWORD_BCRYPT);
[PHP] pobierz, plaintext 

Czy takie użycie funkcji jest poprawne?

W manualu jest np parametr 'PASSWORD_DEFAULT' widziałem też w różnych kodach jak podawali jako drugi parametr tzw salt.

--- Edit ---
Jeżeli hasła mam już hashowane w sposób jaki podałem to już nic nie powinienem zmieniac?

Jeżeli chodzi o sól to bardzo fajnie wytłumaczone jest tutaj: https://auth0.com/blog/adding-salt-to-hashi...tore-passwords/

W skrócie:

A widziałeś
Warning
The salt option has been deprecated as of PHP 7.0.0. It is now preferred to simply use the salt that is generated by default.

Nie próbowałem wywołać tej funkcji z Salt. W takim razie z SALT rezygnujemy.

"that is generated by default." czyli optymalnie byłoby użyć parametru PASSWORD_DEFAULT ?

Czyli znaczy to że jak użyjesz default a w przyszłości zamienia algorytm na argon to żaden użytkownik ci się nie zaloguje. Powinieneś mieć kontrolę nad tym.

W nowszych wersjach rekomendowany jest argon2 ale możesz używać auto, wtedy PHP samo wybierze najlepszy dostępny w systemie algorytm.

Auto nie chce, muszę zdecydować sięna jeden rodzaj.

Obecnie mam PASSWORD_BCRYPT i zostane przy tym w takim razie.

Ja osobiście także polecam Argon2, ale jak już stwórz sobie system zmiany systemu hashowania.

Miałem jużcoś takiego. Że weryfikowałem nnowym mechanizmem i starym. i jak weryfikacja starym była ok wtedy zapisywałem w bazie zmienione już nowym sposobem.