Цитата:
Изначально опубликовано SlavaK
Но мой вопрос так и остался без ответа - для чего шифрования пароля - если оно обходится обнулением в таблице userinfo? (если прав Антон, то настройка параметров пароля ситуацию не спасает) Для того чтобы его явно в userinfo явно не видели и не обнуляя пароль не могли зайти?
зачем? - ну допустим если злоумышленник Вася посмотрел пароль в БД и натворил всяких пакостей просто залогинившись - отловить Васю труднее, чем если бы он обнулял - факт обнуления значительно сужает круг подозреваемых
PS: imho дырка в алгоритме шифрования пароля. Можно было привязать процесс шифрования к имени пользователя, или дате регистрации - тогда бы 'пусто' у каждого было свое. Хотя конечно это все тоже обходится. Вопрос - игра свеч стоит?