1. Accueil
  2. Question et réponse
  3. Éliminer < > comme caractères acceptés dans un mot de passe wordpress?

Éliminer < > comme caractères acceptés dans un mot de passe wordpress?

2009-09-15 4 views
0

Est-il possible d'éliminer ces caractères d'un mot de passe wordpress? J'ai entendu dire qu'il peut ouvrir des scripts de cette façon, que les pirates peuvent utiliser pour entrer. Merci.Éliminer < > comme caractères acceptés dans un mot de passe wordpress?

Source

2009-09-15 Anonymous

+0

Merci d'avoir regardé ma question. Je vous en suis reconnaissant. –

+1

dans le champ de mot de passe? Où avez-vous entendu cela? Je ne crois pas que ce soit vrai pour n'importe quelle version, mais spécialement pour la version actuelle. – BlackTigerX

+2

Quelqu'un tire votre jambe. Même wordpress n'est pas si mal conçu. –

Répondre

6

Réponse simple:

Votre ami vous a mal informé. Restreindre ces caractères dans un mot de passe wordpress n'est pas quelque chose dont vous devez vous inquiéter. Mais comme ils disent "Il n'y a pas de fumée sans feu".

Plus d'informations de fond:

Dans votre propre code-application web, vous devez toujours être particulièrement prudent lorsque vous prenez des données d'un utilisateur (que ce soit à partir d'un formulaire, un cookie ou une URL) ou un autre système ou application informatique externe. La raison en est que vous voulez éviter que les valeurs soient interprétées comme du code et non simplement comme des données.

La question qui a conduit votre ami à vous soucier des <> caractères est appelé Cross-Site Scripting et est une sorte d'attaque que les utilisateurs malveillants peuvent effectuer pour « injecter » html ou javascript contenu dans vos pages. Si vous acceptez les informations de l'utilisateur qui contient ces caractères de balisage html et les réaffiche sur la même page ou sur une autre page, vous pouvez faire en sorte que leur contenu html ou javascript fasse partie de votre page. Tout contenu javascript sera exécuté avec l'accès aux mêmes données que l'utilisateur qui consulte la page.

Chaque fois que des données en dehors est lu, il Sould toujours être

  • validé: à savoir vérifier qu'il ressemble le genre de chose que vous attendez, et rejeté si elle doe pas.
  • et codé: c'est-à-dire lorsque cette donnée est affichée pour être renvoyée à l'utilisateur ou envoyée à une autre partie du système, elle est convertie pour être sûre. Le type de conversion dépend toujours de comment et où les données sont utilisées.

Veuillez noter que les caractères de support d'angle ne sont pas la seule chose à s'inquiéter. S'il vous plaît noter également qu'il est bien prouvé que l'interdiction de certains caractères (également appelé «blacklisting») n'est jamais le meilleur moyen de sécuriser le code. Il est toujours plus sûr d'indiquer ce que est autorisé (également appelé "liste blanche").

Source

2009-09-16 10:11:48 Cheekysoft

+0

Ce sont des réponses comme celle-ci que j'aimerais avoir plus d'un point à donner. –

Questions connexes

 Questions connexes