Forum PHP.pl > czy należy oczyszczać hasło z formularza ?

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: czy należy oczyszczać hasło z formularza ?

adamski9000

27.01.2012, 21:22:41

Witam

Jak wiadomo, wszystkie dane wprowadzone przez użytkownika poprzez formularz należy oczyścić z niebezpiecznego kodu. Ale czy stosuje się ten zabieg także do haseł ?

Przykładowo czy podane hasło z formularza należy przepuścić przez poniższe funkcje czy też nie ?

[PHP] pobierz, plaintext 
 $haslo = htmlspecialchars(stripslashes(strip_tags(trim($_POST["haslo"]))), ENT_QUOTES);
[PHP] pobierz, plaintext

pozdrawiam
Adam

mortus

27.01.2012, 21:37:18

Nie należy tego robić. Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych". Poza tym hasło powinno być zaszyfrowane (odpowiednią funkcją hashującą, np. md5 czy sha1) zanim zostanie wykorzystane w zapytaniu.

l0ud

27.01.2012, 21:40:52

Nie. Po co? Po prostu hashuj przed umieszczeniem w bazie i tyle.
Przy logowaniu hashuj znowu i porównuj.

Cytat

Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych".

Po co? Wystarczy sprawdzić, czy jest wystarczająco bezpieczne.

erix

27.01.2012, 22:53:59

...i sprawdzić, czy pole nie przekracza jakiejśtam długości (sensownie wystarczy ok. 100 znaków), żeby nie zajeździć serwera hashowaniem jakichś gigantów.

adamski9000

28.01.2012, 10:56:09

Dzięki, teraz już wszystko jasne.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.