简介:
许多 PHP 开发人员错误地认为用户提供的密码应该出于安全目的,在进行散列之前进行转义或清理。这个问题探讨了这种做法不必要且可能有害的原因。
答案:
无需逃避或清理
在使用 PHP 的 password_hash() 对密码进行哈希处理之前,切勿对密码进行转义或应用任何清理机制 功能。这是因为:
散列可防止所有输入
即使用户输入整个 SQL 查询作为密码,散列也会通过将其转换为安全性来确保其安全无法识别的哈希值。无需进行特殊清理即可防止存储恶意代码。
清理方法的影响
不同的清理方法可能会显着改变密码,导致在比较时出现验证问题它与存储的散列密码。在散列之前避免使用这些方法非常重要,因为它们不提供任何额外的安全性。
结论:
在散列之前转义或清除用户密码是不必要的,而且可能是有害。 PHP 的password_hash() 函数可以有效地保护密码,无需任何额外的修改。
以上是在 PHP 中进行哈希处理之前应该转义或清理密码吗?的详细内容。更多信息请关注PHP中文网其他相关文章!
