Az egyes ponthoz egy rövid kiegészítés: a legbiztosabb, ha használod a PHP 5.5-ben megjelent, de egy compat php fájllal a korábbiakhoz is elérhető password_hash, password_needs_rehash, password_verify függvényeket. Ha terv szerint használod őket (létrehozáskor PASSWORD_DEFAULT-al hash, utána ellenőrzéskor verify és lekérdezed, hogy kell-e rehash, ha igen, akkor újra hasheled és elmented a DB-be), akkor a kódodtól függetlenül is fejlődhet a usereid biztonsága, ha frissítik a PHP verziót. - és ezzel gyakorlatilag mindent megcsináltál, amit janoszen írt az 1-es pontban.
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)