Мне говорят что вот так использовать нельзя, нужно всё пихать в password_hash не думая
Какая разница? Токен же не вечный всего 30 дней существует в базе и потом уделяется.
И как мне известно всякие гуглдекодеры по базе готовой хэшей расшифровку делают , в токене же не будет QWERTY а 32 рандомных символа 0-9a-fPHP:Даже этот движок если я не ошибаюсь xenforo что использует форум пароли шифрует sha1(sha1($pswd).$salt) в моем случае соль то и не нужна, токен и так рандомный
Крч, объясните почему так нельзя..
P.s одинаковые хэши часто будут и т.д и т.п а в password_hash не будут хэши одинаковые попадаться , так же будут да и куда длина у них больше а это памяти больше занимать будет
если ломанут и получат доступ к БД — то вот они все токены без усилий
а хеш подбирать занятие довольно трудоемкое…опять же чего вам это стоит? да ничего … пару строчек кода… почему бы не сделать?
Тут я тоже подумал, что password_hash имеет больше буквенный запас a-zA-Z0-9 , соль 22 символа .
А токен стоит переписывать на пользовательскую функцию от a-z 0-9 A-Z ?