当前位置: 首页 > 面试题库 >

清理用户密码

汪兴为
2023-03-14
问题内容

在对它们提供哈希值并将其存储在数据库中之前,应如何转义或清除用户提供的密码?

当PHP开发人员出于安全目的考虑对用户密码进行哈希处理时,他们通常会像对待其他任何用户提供的数据一样考虑这些密码。这个主题经常出现在与密码存储有关的PHP问题中。开发人员通常希望在散列密码并将其存储在数据库中之前使用诸如escape_string()(在各种迭代中)htmlspecialchars()addslashes()和等功能清除密码。


问题答案:

password_hash()出于多种原因,您永远都不应逃脱,修整或使用任何其他清理机制对将要用PHP进行哈希处理的密码,其中最大的一个原因是,对密码进行额外的清理需要不必要的额外代码。

您会争论不休(并且您会在接受系统使用用户数据的每篇文章中看到它),我们应该清除所有用户输入,并且您将接受我们从用户那里接受的所有其他信息。密码是不同的。
哈希密码无法提供任何SQL注入威胁,因为在将字符串存储到数据库之前将其转换为哈希。

散列密码的行为是使密码安全地存储在数据库中的行为。哈希函数对任何字节都没有特殊的含义,因此出于安全考虑,不需要清理其输入

如果您遵循允许用户使用他们想要的密码/短语的口号,并且不限制密码,允许任何长度,任意数量的空格和任何特殊字符的散列,将使密码/密码安全,无论其中包含什么内容。密码。到目前为止,最常见的哈希(默认值)PASSWORD_BCRYPT将密码转换为60个字符的字符串,其中包含随机盐以及哈希密码信息和开销(创建哈希的算法开销):

PASSWORD_BCRYPT用于使用CRYPT_BLOWFISH算法创建新的密码哈希。这将始终导致使用“ $ 2y
$”加密格式的哈希,该哈希格式始终为60个字符。

由于向函数添加了不同的哈希方法,因此存储哈希值的空间要求可能会发生变化,因此,最好为存储的哈希值在列类型上增加较大的值,例如VARCHAR(255)TEXT

您可以使用完整的SQL查询作为密码,并且会对其进行哈希处理,从而使SQL引擎无法执行该查询,例如,

SELECT * FROM `users`;

可以哈希到 $2y$10$1tOKcWUWBW5gBka04tGMO.BH7gs/qjAHZsC5wyG0zmI2C.KgaqU5G

让我们看看不同的清理方法如何影响密码-

密码为I'm a "dessert topping" & a <floor wax>!(密码末尾有5个空格,此处未显示。)

当我们应用以下修整方法时,我们会得到一些不同的结果:

var_dump(trim($_POST['upassword']));
var_dump(htmlentities($_POST['upassword']));
var_dump(htmlspecialchars($_POST['upassword']));
var_dump(addslashes($_POST['upassword']));
var_dump(strip_tags($_POST['upassword']));

结果:

string(40) "I'm a "dessert topping" & a <floor wax>!" // spaces at the end are missing
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // double quotes, ampersand and braces have been changed
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // same here
string(48) "I\'m a \"dessert topping\" & a <floor wax>!     " // escape characters have been added
string(34) "I'm a "dessert topping" & a !     " // looks like we have something missing

当我们将这些发送到时会发生什么password_hash()?就像上面的查询一样,它们都被散列了。当您尝试验证密码时出现问题。如果我们采用这些方法中的一种或多种,​​则必须先重新使用它们,然后再与比较password_verify()。以下内容将失败:

password_verify($_POST['upassword'], $hashed_password); // where $hashed_password comes from a database query

您必须先通过选择的清除方法来运行发布的密码,然后才能在密码验证中使用该密码的结果。这是不必要的步骤,会使哈希变得更好。

使用的PHP版本低于5.5?您可以使用password_hash()
兼容包。

您真的不应该使用MD5密码哈希。



 类似资料:
  • 这一章主要就是讲Quartz,实现的功能就是每隔一段时间就清理没激活邮箱的用户 定制Cron任务加载器 实现一个Job类 自定义Sql的简单应用

  • 问题内容: 如何通过PHP清理$ _GET -variables中的数据? 我只对GET by中的一个变量进行了消毒。我不确定是否应该清理所有内容,因为上次将数据放入Postgres时,使用可以最轻松地解决问题。 问题答案: 如何通过PHP清理$ _GET -variables中的数据? 您 不 清除$ _GET中的数据。这是PHP脚本中的一种常见方法,但是完全错误*。 所有变量都应保持纯文本格式

  • 问题内容: 是否有某个功能全面的功能可以很好地用于清理用户针对SQL注入和XSS攻击的输入,同时仍然允许某些类型的HTML标签? 问题答案: 常见的误解是可以过滤用户输入。PHP甚至有一个(现在已弃用的)“功能”,称为magic-quotes,它基于此思想。废话 忘记过滤(或清洁,或任何人称呼它)。 为避免出现问题,您应该做的事情很简单:每当将字符串嵌入外部代码中时,都必须根据该语言的规则对其进行

  • 我可以访问预配置的Windows XP 32位工作站。它在防火墙下,要离开它,它使用超文本传输协议代理服务器。要获取代理设置,我需要主机、端口、用户名和密码。 超文本传输协议://用户名:密码@服务器:端口 我能够找到代理url和端口(来自PAC-自动配置文件),但我不知道如何获取用户名/密码。有没有办法以某种方式读取它?至少用户名?我可能会获得管理员权限。 你知道有什么工具可以帮助你吗? 我只找

  • 2.3 账户密码管理 2.3.1 重置、修改支付密码 【场景介绍】 该操作需要在钱麦页面完成(用户需要提交相关信息进行身份校验之后重置\/修改支付密码),钱麦将结果同步\/异步反馈给商户,且在用户重置\/修改支付密码之后,返回商户端页面,商户继续处理用户的其他请求。 【重要说明】 基于支付合规性要求,个人网络支付密码属于敏感信息,无支付牌照许可的公司是不能够存储个人支付账户支付密码,支付+钱麦也是

  • 我有几个用Java实现的Kafka消费者,我正在实现一个独立的应用程序来检查记录并删除它们。希望Kafka在压缩主题时删除状态存储。 现在...我对Kafka创建的不同类型的商店有点困惑。对于每一种类型的店铺,我想知道: Kafka删除相应主题中的旧唱片时是否删除? 删除相应主题中的记录时是否删除? 我们是不是被困住了? 我看到的商店类型有以下几种: null