PHP でハッシュする前にユーザーのパスワードをクレンジングする必要がありますか?

ユーザー パスワードのクレンジング: 総合ガイド

ユーザー パスワードを保護する場合、PHP 開発者は、escape_string() や htmlspecialchars() などのクレンジング メカニズムを利用することがよくあります。 ）。ただし、プロセスが不必要に複雑になり、追加のセキュリティ上の利点が得られないため、この方法はパスワードには推奨されません。

セキュリティのためのパスワード ハッシュ

ハッシュの主な目的パスワードは、データベースに保存するためにパスワードを安全にするためのものです。ハッシュ化されたパスワードは平文ではなく、SQL インジェクション攻撃に直接使用できないため、セキュリティ目的ではクレンジングは無関係になります。

不要な追加コード

パスワードをクレンジングすると、次の機能を実行する不要なコードが導入されます。実際の機能はありません。 passwd_hash() 関数は、パスワードを安全に保存できるようにするために必要なすべての変換をすでに処理しています。

ユーザーの柔軟性を可能にする

クレンジング メカニズムを回避することで、ユーザーはより長く、より長いものを選択できるようになります。より複雑なパスワード。これにより、攻撃者がパスワードを解読することが難しくなるため、セキュリティが強化されます。

パスワードの保管に関する考慮事項

最も一般的に使用されるハッシュ方式である PASSWORD_BCRYPT は、60-パスワード、ランダムソルト、アルゴリズムコストを含む文字ハッシュ。ハッシュ化メソッドの将来の拡張に対応するために、ハッシュ化されたパスワードを VARCHAR(255) 列または TEXT 列に格納することをお勧めします。

パスワード クレンジングの影響の例

次の点を考慮してください。パスワード: 「私は「デザートのトッピング」<フロアワックス>です!』異なるクレンジング方法を適用すると一貫性のない結果が得られますが、どれもハッシュ化に必要なものではありません。

Cleansing Method	Result
Trim	"I'm a "dessert topping" & a <floor wax>!"
Htmlentities	"I'm a &quot;dessert topping&quot; &amp; a <floor wax>!"
Addslashes	"I'm a "dessert topping" & a <floor wax>!"
Strip_tags	"I'm a "dessert topping" & a !"

使用したクレンジング方法に関係なく、すべてのパスワードは正常にハッシュ化されます。ただし、password_verify() と比較する前にクレンジング メソッドを再度適用する必要があるため、パスワードを検証するときに問題が発生します。

結論

ハッシュ化する前にユーザー パスワードをクレンジングする必要はありません。そして潜在的に有害な行為。代わりに、PASSWORD_BCRYPT などの安全なハッシュ アルゴリズムの使用に重点を置き、ユーザーが強力なパスワードを選択できるようにします。クレンジング メカニズムを回避することで、プロセスが簡素化され、保存されたパスワードのセキュリティが強化されます。

以上がPHP でハッシュする前にユーザーのパスワードをクレンジングする必要がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。