Ben oluşturulan ve kullanıcı başına depolanan rasgele, 16 karakter uzunluğunda, sayısal tuz (değişen durum) varsa, ben de bir site geniş tuz gerekiyor?

Diğer bir deyişle, bu iyi?

sha1($user_salt . $password)

Ben bunun yerine yapmalıyım?

sha1($user_salt . $password . $site_salt)

Ayrıca,

Şu anda, ben bir DB bir oturumu görünen bir şifreli çerez var. Bu oturumda, bir User_id ve bir user_token var. Sonra user_id kullanarak DB sorgu - DB === user_token yılında user_id + sha1, ardından kullanıcı ile izin verildiği takdirde.

Ben silerseniz ben, her sayfa yük user_id için ikinci sorgu yasaklamak veya bir kullanıcının şifresini değiştirmek, böylece, eylem anında etkiye sahiptir.

Bu benim burada web siteleri ve soruları bakarak geldim budur. Sen ne düşünüyorsun? Ben bir şey mi kaçırdım?

Ben kontrol rolünü eklemeniz gerekir ama muhtemelen başka bir sorgu (sadece auth için 3 tane) eklersiniz. Herhangi bir ipucu?