清理使用者密碼
在開發安全應用程式時,開發人員通常會考慮在加密儲存使用者提供的密碼之前先清理使用者密碼。然而,在雜湊之前對密碼應用清理機制會帶來一定的複雜性。
避免在雜湊之前清理密碼
避免使用 escape_string( 等函數來清理密碼是至關重要的)、htmlspecialchars() 或addslashes()。這樣做的主要原因是這樣的預處理是多餘且不必要的。
PHP 的 password_hash() 函數產生的雜湊值(通常用於密碼儲存)不會構成 SQL 注入威脅。雜湊過程將密碼轉換為無法被 SQL 注入利用的雜湊。
雜湊無需清理即可提供安全性
雜湊函數不會為特定字元分配特殊含義;因此,出於安全目的,不需要進行清潔。透過允許使用者指定他們想要的任何密碼(包括空格和特殊字元),雜湊可以確保密碼的安全性,無論其內容為何。
儲存注意事項
雖然預設值雜湊方法(PASSWORD_BCRYPT)產生60個字元寬的哈希,建議分配更多空間用於存儲,例如VARCHAR (255) 或TEXT,以適應哈希演算法未來可能發生的變化。
清潔無效的例子
考慮密碼「我是」甜點配料「&!」。應用各種清理方法會產生不同的結果:
但是,這些轉換對雜湊密碼的安全性沒有影響。只有當對提供的密碼和從資料庫檢索到的雜湊等效值套用相同的清理方法時,password_verify() 才會成功。
結論
總之,避免在使用password_hash()進行雜湊之前清理密碼。這樣做是不必要的並且會帶來複雜性。相反,依靠哈希演算法提供的安全性並考慮其潛在的儲存需求。
以上是我應該在散列用戶密碼之前清理它們嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
