Страница 1 из 1

Симуляция проверки пароля в случае если пользователь не найден

Добавлено: 2019.11.08, 16:53
azz
Приветствую. В процессе разработки проекта возник этот вопрос.

Дано.
Пароль пользователей генерируется через password_hash(), проверяется password_verify(). Для разных пользователей может быть разный cost, от дефолтного 10, до 14. Вроде бы всё хорошо. Но если пользователь не найден, password_verify() не вызывается, а сразу выдаётся ошибка. По времени ответа даже в браузере видно, когда пользователя нет совсем, и когда он есть, но пароль неверный.

Вставил задержку через usleep(random_int(800000, 1500000)), но может есть решения поэлегантнее?

Re: Симуляция проверки пароля в случае если пользователь не найден

Добавлено: 2019.11.08, 17:00
uEhlO4a
что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?

Re: Симуляция проверки пароля в случае если пользователь не найден

Добавлено: 2019.11.08, 17:15
azz
uEhlO4a писал(а):
2019.11.08, 17:00
что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?
Ничего не мешает. Мне интересно как в крупных проектах это реализуется