Я создаю страницу создания учетной записи для нашего сайта. Я всегда очищал значение по умолчанию = "" для ввода типа = "пароль" из паранойи после того, как пользователь отправил форму, даже если два пароля совпадают и являются действительными. Я начал думать об этом после того, как наш дизайнер спросил меня, есть ли смысл делать это. Я могу, конечно, отобразить пароли в поле value = "" после отправки, если они не являются ошибкой проверки, но существуют ли уязвимости, связанные с этим подходом? Мы по умолчанию на https на этой конкретной странице. Я знаю, что вы могли бы выполнить html-переписывание, чтобы изменить тип ввода так, чтобы вы отображались в немаскированном вводе, но, похоже, это может повлиять только на пользователя локально.
Пример формы:
<input type="text" name="username" value="<?php echo $username; ?>">
<input type="password" name="password1" value="">
<input type="password" name="password2" value="">
При отправке проверьте, выглядит ли имя пользователя как правильное электронное письмо, совпадают ли пароли и соответствуют ли наши минимальные требования. Если письмо оскорбляет, а пароли - нет, могу я добавить ...
<input type="password" name="password1" value="<?php echo $password1; ?>">
<input type="password" name="password2" value="<?php echo $password2; ?>">
... и не волнуйтесь? И нет, я не использую глобальные регистры. Я вытаскиваю их из $ _POST вручную и сначала выполняю очистку.
Josh