我已经保护了sql包含和文件注入,我想知道如果不能访问服务器,为什么需要salting密码?
如果一个破解者无法访问服务器,他将如何从php服务器获取哈希密码?没有本地帐户到Web服务器,Linux或Windows.如果他在网络服务器上有一个网络帐户呢?
我的想法是,破解者从未看到散列密码,因为密码比较发生在Web服务器上而不是客户端计算机上.所以如果服务器是安全的,那么cracker将无法访问他或其他哈希密码,对吧?
如果无法访问服务器
插入您可以找到的每个安全漏洞并不意味着没有安全漏洞.
您不能假设对服务器的访问是(并且将保持)不可能.