Einführung:
Viele PHP-Entwickler gehen fälschlicherweise davon aus, dass vom Benutzer bereitgestellte Kennwörter dies tun sollten aus Sicherheitsgründen vor dem Hashing maskiert oder bereinigt werden. In dieser Frage werden die Gründe untersucht, warum diese Praxis unnötig und potenziell schädlich ist.
Antwort:
Keine Flucht oder Reinigung nötig
Escapen Sie niemals Passwörter und wenden Sie keine Bereinigungsmechanismen auf sie an, bevor Sie sie mit der PHP-Funktion „password_hash()“ hashen. Dies liegt daran:
Hashing schützt vor allen Eingaben
Selbst wenn ein Benutzer eine ganze SQL-Abfrage als Passwort eingibt, wird sie durch Hashing sicher, indem es in „ ein nicht erkennbarer Hash. Es ist keine spezielle Bereinigung erforderlich, um die Speicherung von Schadcode zu verhindern.
Auswirkungen von Bereinigungsmethoden
Verschiedene Bereinigungsmethoden können das Passwort erheblich verändern, was beim Vergleich zu Verifizierungsproblemen führt es mit dem gespeicherten Hash-Passwort. Es ist unbedingt erforderlich, diese Methoden vor dem Hashing zu vermeiden, da sie keine zusätzliche Sicherheit bieten.
Fazit:
Das Maskieren oder Bereinigen von Benutzerkennwörtern vor dem Hashing ist unnötig und potenziell unnötig schädlich. Die Funktion „password_hash()“ von PHP sichert Passwörter effektiv, ohne dass zusätzliche Änderungen erforderlich sind.
Das obige ist der detaillierte Inhalt vonSollten Sie Passwörter vor dem Hashing in PHP maskieren oder bereinigen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!