Набор допустимых символов для паролей веб-сайта

Question

Здравствуйте, я составлял регулярное выражение для поля пароля моего сайта, и у меня возникла проблема:

Есть ли какие-либо символы, которые я должен запретить пользователю вводить?Если так, то почему?

Или достаточно просто избежать опасных символов, таких как = и ', при обработке данных?Похоже, для этой темы неплохо бы перечислить php-функции для их экранирования, если хотите.

Спасибо!

Answer 1

Я хэширую все, что вводит пользователь в качестве пароля, поэтому мне все равно, что они вводят, это никогда не касается моей базы данных и не может причинить никакого вреда.md5 ($ _ POST ['password'])

Другие поля - это отдельная история ...

mysql_real_escape_string() - отличная функция для экранирования данных в запросах.

Answer 2

Как уже говорили другие люди, хеширование пароля пользователя перед его сохранением в базе данных будет означать, что вам не нужно беспокоиться о том, что пользователь вводит.

Пока мы говорим о хешировании, вы можете даже подумать о добавлении «соли» в пароль до его хеширования. Солт - это случайная строка (например, адрес электронной почты пользователя), которая поможет улучшить уникальность сгенерированного хэша (разные пользователи, имеющие один и тот же пароль, будут генерировать один и тот же хеш без соли).

Для получения дополнительной информации прочитайте: http://phpsec.org/articles/2005/password-hashing.html

Answer 3

От чего конкретно вы защищаетесь? Если это SQL-инъекция, то вам не следует полагаться на экранирование пользовательских параметров, вы должны использовать параметризованные запросы.

http://us.php.net/manual/en/mysqli-stmt.bind-param.php

Answer 4

Без ограничений должны быть размещены пароли.Пусть пользователь решит.

Что касается экранирования символов для ввода в базу данных, нет необходимости;Просто проведите исследование SQL-инъекция

Answer 5

Я использую функции паролей MD5 / Hash и BASE64 ENCODE, поэтому мне не важно, что они вводят, если они соответствуют минимальным требованиям ... Рекомендуются строго набранные пароли.

function get_rnd_iv($iv_len)
    {
        $iv = '';
        while ($iv_len-- > 0) {
            $iv .= chr(mt_rand() & 0xff);
        }
        return $iv;
    }

    function md5_encrypt($string_value, $salt_key, $iv_len = 16)
    {
        $string_value .= "\x13";
        $n = strlen($string_value);
        if ($n % 16) $string_value .= str_repeat("\0", 16 - ($n % 16));
        $i = 0;
        $enc_text = get_rnd_iv($iv_len);
        $iv = substr($salt_key ^ $enc_text, 0, 512);
        while ($i < $n) {
            $block = substr($string_value, $i, 8) ^ pack('H*', md5($iv));
            $enc_text .= $block;
            $iv = substr($block . $iv, 0, 512) ^ $salt_key;
            $i += 16;
        }
        return urlencode(base64_encode($enc_text));
    }

    function md5_decrypt($enc_text, $salt_key, $iv_len = 16)
    {
        $enc_text = urldecode(base64_decode($enc_text));
        $n = strlen($enc_text);
        $i = $iv_len;
        $string_value = '';
        $iv = substr($salt_key ^ substr($enc_text, 0, $iv_len), 0, 512);
        while ($i < $n) {
            $block = substr($enc_text, $i, 8);
            $string_value .= $block ^ pack('H*', md5($iv));
            $iv = substr($block . $iv, 0, 512) ^ $salt_key;
            $i += 16;
        }
        return preg_replace('/\\x13\\x00*$/', '', $string_value);
    }

Answer 6

Ничего из этого не должно быть проблемой, если вы избегаете всего, что пользователь вводит на стороне сервера. Вы можете увидеть больше информации на Где использовать mysql_real_escape_string для предотвращения SQL-инъекций? .