Różne wersje PHP, różne wyniki funkcji crypt(), Jak zmusić PHP 5.4.4 do zachowania jak PHP 5.2.5 Opcje

[karakara]

Kod:

[PHP] pobierz, plaintext 
echo $a = 'stackoverflow';
echo '<br>';
echo $b = '$2a$10$bf57caf7e1fa23e4b975ab';
echo '<br>CRYPT:<br>';
echo crypt($a, $b);
[PHP] pobierz, plaintext 

Wynik dla PHP 5.2.5

stackoverflow
$2a$10$bf57caf7e1fa23e4b975ab
CRYPT:
$2.LaeiP21fsQ

Wynik dla PHP 5.4.4

stackoverflow
$2a$10$bf57caf7e1fa23e4b975ab
CRYPT:
$2a$10$bf57caf7e1fa23e4b975aOhXjTtYrqOYLfHsxdOxGRhF03.LtKewW

Chce przenieść skrypt na nowy serwer, do tego potrzebuje zmusić PHP 5.4 do zachowania jak 5.2.5 (czyli chciałbym w 5.4 uzyskać ten sam wynik co 5.2.5)
Gdy do soli dodam $ na końcu to i tak nie ma różnicy.

Jak możecie się domyślać pytanie zadałem też na StackOverflow jak narazie bez rezultatu (http://stackoverflow.com/questions/15021135/different-versions-of-php-different-results-of-crypt)

Proszę o pomoc.

Ten post edytował karakara 22.02.2013, 11:19:41

[timon27]

Różnice w funkcji crypt() nie wynikają bezpośrednio z różnych wersji php, tylko z zainstalowanej funkcji hashującej.
Jeśli możesz i masz możliwość musisz zmienić funkcję hashującą.
Jeśli nie, to po prostu zrezugnuj z funkcji crypt i skorzystaj z normalnego hashowania z solą.

Ten post edytował timon27 22.02.2013, 11:38:44

[sowiq]

Jeśli nie, to po prostu zrezugnuj z funkcji crypt i skorzystaj z normalnego hashowania z solą.

php.net powiada:

Why are common hashing functions such as md5() and sha1() unsuitable for passwords?
Hashing algorithms such as MD5, SHA1 and SHA256 are designed to be very fast and efficient. With modern techniques and computer equipment, it has become trivial to "brute force" the output of these algorithms, in order to determine the original input.
Because of how quickly a modern computer can "reverse" these hashing algorithms, many security professionals strongly suggest against their use for password hashing.

Jednym słowem, ze względu na dużą obecnie moc obliczeniową komputerów, md5 czy sha1 są zbyt łatwe do złamania metodą brute force, więc powinno się wykorzystywać powolniejsze metody.

[edit]
@karakara, zerknij tutaj: https://bugs.php.net/bug.php?id=60073&edit=1
Ktoś wrzucił podobny problem jako bug w PHP. Odpowiedź brzmi:

"$2C9b17FGUTd." is not a valid Blowfish hash. You got this output on earlier versions of PHP where CRYPT_BLOWFISH was not supported, or perhaps a buggy version was being used. PHP 5.3.8 is returning the correct hash.

Zgadza się to z tym, co Ty otrzymywałeś. Ciąg "$2.LaeiP21fsQ" jest zdecydowanie za krótki jak na hash...

Ten post edytował sowiq 22.02.2013, 11:49:26