您应该在散列之前清理密码吗？

用户密码安全：反对预哈希清理的案例

保护用户密码至关重要。 虽然在 PHP 中清理用户输入是常见做法，但预哈希密码清理是不必要的，而且可能有害。

为什么跳过密码清理？

• 冗余代码：添加清理步骤会增加代码复杂性，但不会带来任何实际好处。
• 没有安全增益：散列密码不会受到 SQL 注入漏洞的影响，因为它们在数据库存储之前转换为散列。
• 哈希接受所有字符： 现代哈希算法（如 bcrypt）可以轻松处理密码字符串中的任何字符，包括空格和特殊字符。

修剪：验证问题的根源

即使看似无害的操作（例如修剪空格）也可能会产生验证问题。 如果实施清理，则必须在密码存储和验证过程中一致应用，从而不必要地使过程复杂化。

清理对密码哈希的影响

应用各种清理技术（例如，trim、htmlentities、htmlspecialchars、addslashes、strip_tags）可以更改密码内容，导致验证失败。

总结：

预哈希密码清理是不必要的、低效的，并且可能会引入漏洞。 密码安全性的优势仅在于哈希算法本身，使得清理变得多余。 省略此步骤可以简化您的代码并增强应用程序的安全性。

以上是您应该在散列之前清理密码吗？的详细内容。更多信息请关注PHP中文网其他相关文章！