Witam,

Chcę maksymalnie zabezpieczyć skrypt przed wszelkimi atakami, no i naszła mnie taka myśl. Co z walidacją hasła? Nie chcę ograniczać użytkowników do dozwolonych znaków w haśle, natomiast stosuję kodowanie hasła, więc jako tako, nie może ono nic zdziałać...

Pytanie jest takie: Czy jakiś kod zamiast hasła, np. JS, PHP (nie wiem czy da się przekazać fragment PHP jako wartość POSTową), czy jakikolwiek inny (wykluczam SQL Injection, bo tutaj nie jest to możliwe) może coś nabroić jeżeli przykładowo mam taki kod (uproszczony do maks.):

[PHP] pobierz, plaintext 
if (isset($_POST['password']))
{
    $password = kodowanie($_POST['password']);
    $sql = mysql_query("Jakieś zapytanie SQL");
    ...
}
[PHP] pobierz, plaintext 

W takim przypadku wartość $_POST['password'] nie jest w żaden sposób walidowana (tak jest u mnie w skrypcie) i o taką sytuację mi chodzi.

Pozdrawiam.

Było. Wyszukiwarka -> walidacja.

Mi nie chodzi o samą walidację, bo walidacji to jest tysiące... Walidacja JS, loginów, formularzy (czy wypełnione, czy nie), etc, etc...

http://forum.php.pl/index.php?act=Search&a...lidacja+hase%B3

Wyszukiwarka > walidacja haseł

Kilka wybranych tematów z pierwszej strony, które z nazwy pasowałyby minimalnie do mojego tematu > zero powiązania...

Następnym razem zamiast bezsensownie (bo dla mnie to jest bezsensowny post, nawet nie sprawdziłeś czy masz rację pisząc taką odpowiedź) spamować na forum, spróbuj kogoś upomnieć na PM. Nikt Ci nie zarzuci spamowania, a może zrobisz dobry uczynek.

jeżeli haszujesz hasło to nie musisz go walidować, no bo po co, skoro nie może to zrobić żadnej szkody to wszystko jedno jakie hasło ma użytkownik

Tak, tylko chodzi mi o to, czy w trakcie przesyłania danych, przetwarzania skryptu, etc, etc, czy coś może się stać... Jakieś obiekty DOM czy coś, bo akurat o tym nie mam w ogóle pojęcia ;P

nie słyszałem jeszcze o hackowaniu obiektami DOM, może wiesz coś, czego nie wiem?

NIE, nic się nie stanie...

Napisałem, że nie znam się na obiektach DOM itp itd Dlatego się pytam, czy "po drodze", gdzieś "w zaułku" może ktoś "mnie napaść"

No i w sumie to jest jeszcze jedno pytanie. Czy warto walidować hasło? W tej chwili mi chodzi o dobro użytkowników, tzn. żeby nie ustawili sobie jakiegoś durnego, z którym mieliby problemy przy wpisywaniu/wysyłaniu/etc...

+ zmieniłem temat na bardziej odpowiedni.

nie, bo i tak nic Ci to nie da.

Tak, ale w zasadzie to tylko czy nie jest za krótkie czyli np. minimum 6 znaków, i czy nie jest za długie np. max 32 znaki. Inna walidacja nie ma sensu. Ja bym się prędzej martwił, że ludzie ustawią sobie za proste hasło niż, że za trudne.... więc ewentualnie można też ustawić wymaganie 1 cyfry, wielkiej i małej litery, ale jak dla mnie to sama walidacji długości ciągu jest wystarczająca.

Tzn. głównie chodziło mi tutaj o jakieś znaki specjalne które mogłyby powodować jakieś problemy...

Ale dzięki za wszystkie odpowiedzi