Question

Исходя из моего понимания хеширования в целом, один измененный символ в любом месте может перебросить весь хеш в другой пример ... и это заставило меня задуматься ... Является ли очистка пароля, передаваемого PHPass, хорошей идеей? Если в какой-то будущей версии PHP они решат изменить то, что экранировано, с помощью своих функций очистки, и чей-то пароль включает один из недавно экранированных символов, это отбросит их хэш, и они никогда не смогут вернуться обратно (если не будет сброса).

Я понимаю, что потенциальная угроза безопасности перевешивает неудобства, связанные с несколькими сбросами пароля, но мне все еще интересно это. Это законное беспокойство?

Andreas · Answer 1 · 03 сентября 2011

Я не понимаю, почему вам нужно санировать пароль или большинство данных по этому вопросу.Вы должны санировать свои данные, чтобы сделать небезопасное использование безопасным (например, чтение из указанного пользователем файла).Кроме этого, все остальное должно обрабатываться htmlentities ($ data) при его печати или mysql_real_escape_string ($ data) для использования в запросах MySQL.Никогда не требуется дезинфицировать данные, которые никогда не видны или никогда не используются небезопасными способами (то есть дезинфицировать данные как сделать их безопасными) ... их следует избегать.

Так что не дезинфицируйте,бежать в нужное место ... как при печати или запросах.

Безопасно ли очищать пароли, передаваемые PHPass, и наоборот?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасно ли очищать пароли, передаваемые PHPass, и наоборот?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы