Приветствую. В процессе разработки проекта возник этот вопрос.
Дано.
Пароль пользователей генерируется через password_hash(), проверяется password_verify(). Для разных пользователей может быть разный cost, от дефолтного 10, до 14. Вроде бы всё хорошо. Но если пользователь не найден, password_verify() не вызывается, а сразу выдаётся ошибка. По времени ответа даже в браузере видно, когда пользователя нет совсем, и когда он есть, но пароль неверный.
Вставил задержку через usleep(random_int(800000, 1500000)), но может есть решения поэлегантнее?
Симуляция проверки пароля в случае если пользователь не найден
Re: Симуляция проверки пароля в случае если пользователь не найден
что мешает сделать password_verify(блаблабла, хеш10-14) чтобы было false если пользователя нет?