Mögliche Duplikate:
Sicherer Hash und Salt für PHP-Passwörter

Ich habe viele Posts sowohl im Stackoverflow als auch auf anderen Websites gelesen, die sich mit Websicherheit befassten. Wie Salting-Verschlüsselung usw. Und ich verstehe es irgendwie nicht, daher wäre eine einfache Erklärung wirklich hilfreich.

Also hier ist, was ich bisher weiß. Ein Benutzer meldet sich mit seinem Benutzernamen und Passwort an. Die Eingabe durchläuft dann einen Prozess. Nehmen wir an, der Benutzername und das Passwort werden wie folgt kombiniert:

$username = (USERS USERNAME INPUT);
$password = (USERS PASSWORD INPUT);
$userinput = $username . $password;

Dann fügen wir etwas Salz hinzu.

$salt1 = "13$13aVc!kd";
$salt2 = "4kr$!vlmeoc";

$salted = $salt1 . $userinput . $salt2;

Dann verschlüsseln wir es.

$encrypted = encrypt($salted);

Überprüfen Sie anschließend mit der Datenbank, ob der richtige Benutzer angemeldet ist.

So funktioniert es richtig? Aber ich habe von Brute-Force-Angriffen gelesen. Es errät die Eingabewerte richtig? Mit dem obigen Verfahren. Zeigt es nicht, dass der Angreifer nur die korrekten $ userinput-Informationen abrufen muss, um einzusteigen? Er muss die lange verschlüsselte Zeichenfolge nicht richtig erraten?

Hinweis: Nehmen wir an, in dieser Situation gibt es kein Captcha, kein Limit für die Anzahl der Versuche, keine Sperre, nichts anderes als das oben genannte.

Hinweis: Sei sanft, ich lerne noch.