Napisałem system logowania oparty na sesjach i przechowuje hasło na serwerze zaszyfrowane algorytmem md5 czy to wystarczy czy mogę jeszcze się jakoś zabezpieczyć?

MD5 coś słaby ostatnio jest, można zrobić kolizje i MD5 będzie złamany, ale zawsze możesz przestawić się na SHA1
hmm, ale w sumie możesz też zrobić pole ze słowem sprawdzającym, albo CAPTCHA

He he ponad 4 lata temu to było z tego co pamiętam, a zatem nie tak ostatnio, ale rzeczywiście, z tego co wiem zaleca się stosowanie SHA1, choć tam też były jakieś problemy (i też nie ostatnio ).
Tak czy inaczej chyba nie należy popadać w paranoje. Myślę, że MD5 w zupełności wystarczy. Najważniejsze jest odpowiednie filtrowanie danych przesyłanych do bazy i tych, które są wyświetlane na stronie a pochodzą od użytkowników.
W zasadzie najlepiej filtrować wszystkie dane, czyli przychodzące, ale także wychodzące np z bazy danych, pomimo, że zostały już raz przefiltrowane na wejściu, zawsze jest to dodatkowe zabezpieczenie.

W przypadku logowania wiadomo, że trzeba filtrować dane (zapewne login i hasło), należy też pamiętać o formularzu rejestracji jeżeli taki istnieje.

co do kodowania md5 to można robić kombinacje np

[PHP] pobierz, plaintext 
<?php
$salt='blabla';
 
$haslo=md5(md5($salt).md5(md5($haslo)).$md5($haslo.$salt).$salt.$haslo)
?>
[PHP] pobierz, plaintext 

niewiem czy działą bo sporo tych nawiasów, ale wątpie by ktoś to złamał

Zgodzę się z tym w 100% filtruj wszystko i wszędzie, nie będziesz miał niespodzianek

IMHO drugi jest tak samo "bezpieczny", jak pierwszy.


Do poduszki: http://forum.php.pl/index.php?showtopic=44156
http://forum.php.pl/index.php?showtopic=23258

~DREEMus, nie dość, że cytujesz całego posta, to cała Twoja wypowiedź oprócz zgodzę się nie wniosła niczego nowego do dyskusji...