Un ensemble de caractères valides pour le site web des mots de passe

Question

Salut, je composais une expression rationnelle pour un champ de mot de passe de mon site et avait une préoccupation:

Y a-t-il des personnages que je dois bloquer un utilisateur d'entrer? Si oui, pourquoi? Ou est-ce suffisant d'échapper des caractères dangereux comme = et 'lors du traitement des données? Il semble bon pour ce sujet d'énumérer les fonctions PHP pour échapper à ceux-ci, si vous voulez.

Merci!

Answer 1

Je hache tout ce qu'un utilisateur saisit comme un mot de passe, donc je me fiche de ce qu'il écrit, il ne touche jamais ma base de données et ne peut causer aucun dommage. md5 ($ _ POST [ 'password'])

D'autres champs sont une autre histoire ...

mysql_real_escape_string() est une grande fonction pour échapper à des données dans les requêtes.

Answer 2

Rien de tout cela ne devrait poser de problème tant que vous échappez à tout ce que l'utilisateur entre du côté serveur. Vous pouvez voir plus d'informations au Where to use mysql_real_escape_string to prevent SQL Injection?.

Answer 3

Aucune restriction ne doit être placée sur les mots de passe. Laissez l'utilisateur décider. Comme pour les caractères d'échappement pour l'entrée de la base de données, pas besoin; Je fais juste des recherches sur

Answer 4

Sur quels points protégez-vous spécifiquement? Si c'est une injection SQL, alors vous ne devriez pas compter sur l'échappement des paramètres fournis par l'utilisateur, vous devriez utiliser des requêtes paramétrées.

http://us.php.net/manual/en/mysqli-stmt.bind-param.php

Answer 5

Comme d'autres personnes ont déjà dit, hachant le mot de passe de l'utilisateur avant de l'enregistrer à la base de données vous n'avez pas dire à vous soucier de ce que l'utilisateur entre. Alors que nous sommes sur le sujet du hachage, vous pouvez même envisager d'ajouter un «sel» au mot de passe avant qu'il ne soit haché. Un salt est une chaîne aléatoire (par exemple, l'adresse email de l'utilisateur) qui aidera à améliorer l'unicité du hachage généré (différents utilisateurs qui ont le même mot de passe génèrent le même hachage sans sel).

Pour plus d'informations prendre une lecture de: http://phpsec.org/articles/2005/password-hashing.html

Answer 6

J'utilise MD5/Hash et BASE64 ENCODE Fonctions pour les mots de passe, donc je n'ai pas vraiment un soin ce qu'ils entrent aussi longtemps qu'ils répondent aux exigences minimales ... Les mots de passe fortement typés sont recommandés.

function get_rnd_iv($iv_len) 
    { 
     $iv = ''; 
     while ($iv_len-- > 0) { 
      $iv .= chr(mt_rand() & 0xff); 
     } 
     return $iv; 
    } 

    function md5_encrypt($string_value, $salt_key, $iv_len = 16) 
    { 
     $string_value .= "\x13"; 
     $n = strlen($string_value); 
     if ($n % 16) $string_value .= str_repeat("\0", 16 - ($n % 16)); 
     $i = 0; 
     $enc_text = get_rnd_iv($iv_len); 
     $iv = substr($salt_key^$enc_text, 0, 512); 
     while ($i < $n) { 
      $block = substr($string_value, $i, 8)^pack('H*', md5($iv)); 
      $enc_text .= $block; 
      $iv = substr($block . $iv, 0, 512)^$salt_key; 
      $i += 16; 
     } 
     return urlencode(base64_encode($enc_text)); 
    } 

    function md5_decrypt($enc_text, $salt_key, $iv_len = 16) 
    { 
     $enc_text = urldecode(base64_decode($enc_text)); 
     $n = strlen($enc_text); 
     $i = $iv_len; 
     $string_value = ''; 
     $iv = substr($salt_key^substr($enc_text, 0, $iv_len), 0, 512); 
     while ($i < $n) { 
      $block = substr($enc_text, $i, 8); 
      $string_value .= $block^pack('H*', md5($iv)); 
      $iv = substr($block . $iv, 0, 512)^$salt_key; 
      $i += 16; 
     } 
     return preg_replace('/\\x13\\x00*$/', '', $string_value); 
    }