J'essaie de désinfecter toutes les données saisies en vérifiant que les données sont valides pour un champ particulier (par exemple, un nom ne peut pas contenir de caractères spéciaux/chiffres, etc.). Cependant, je ne sais pas quoi faire il arrive à un champ de mot de passe. Aurais-je même besoin de se soucier de la désinfection, car le mot de passe est simplement haché? Si l'utilisateur devait injecter quelque chose de malveillant via la boîte de texte du mot de passe, devrais-je prendre la peine de vérifier quelque chose de suspect? AFAIK, certains utilisateurs peuvent (devraient!) Avoir des caractères spéciaux tels que '<>', ce qui déclencherait normalement une alerte d'attaque potentielle. Devrais-je laisser le champ de mot de passe non identifié? Limiter l'entrée pour les mots de passe est un dernier recours pour moi, car je pense que les utilisateurs devraient utiliser toutes sortes de caractères dans leurs mots de passe.La désinfection d'entrée de mot de passe est-elle requise?
Merci
Merci d'avoir réfléchi à cela et de faire la bonne chose (tm). Je suis si fatigué des sites Web qui vous limitent à un jeu de caractères spécifique ou à seulement 10 caractères ou moins. Et oui, je parle des sites bancaires du crétin. – NotMe
lol, je sais ce que tu veux dire. Je n'ai pas encore vu une raison valable pour jamais handicaper le mot de passe d'un utilisateur. – XSL
Il peut être utile de ne pas autoriser (même si cela ne supprime probablement pas) certains caractères. Par exemple, les caractères de contrôle, bien que certaines personnes utilisaient des caractères de tabulation dans les mots de passe UNIX (je crois). –