update - php sql prepare




清理用户密码 (2)

出于多种原因,您绝不能对将要用PHP的 password_hash() 进行哈希处理的 password_hash() 进行转义,修整或使用任何其他清除机制,其中最大的一个原因是,对密码进行额外的清除需要不必要的额外代码。

您将争论不休(并且您会在接受系统使用用户数据的每篇文章中看到它),我们应该清除所有用户输入,并且您将接受我们从用户那里接受的所有其他信息。 密码不同。 哈希密码不能提供任何SQL注入威胁,因为在将字符串存储到数据库之前将其转换为哈希。

散列密码的行为是使密码安全地存储在数据库中的行为。 哈希函数对任何字节都没有特殊的含义,因此出于安全原因,不需要清理其输入

如果您遵循允许用户使用他们想要的 密码/短语 的口号,并且 不限制密码 ,允许任何长度,任何数量的空格和任何特殊字符的散列,将使密码/密码安全,无论其中包含什么内容。密码。 到目前为止,最常见的哈希(默认值) PASSWORD_BCRYPT 将密码转换为60个字符的字符串,其中包含随机盐以及哈希密码信息和开销(创建哈希的算法开销):

PASSWORD_BCRYPT用于使用CRYPT_BLOWFISH算法创建新的密码哈希。 这将始终导致使用“ $ 2y $”加密格式的哈希,该哈希格式始终为60个字符。

由于向函数添加了不同的哈希方法,因此存储哈希值的空间要求可能会发生变化,因此,最好为存储的哈希值增加列类型,例如 VARCHAR(255)TEXT

您可以使用完整的SQL查询作为密码,并且会对其进行哈希处理,从而使SQL引擎无法执行该查询,例如,

SELECT * FROM `users`;

可以哈希为 $2y$10$1tOKcWUWBW5gBka04tGMO.BH7gs/qjAHZsC5wyG0zmI2C.KgaqU5G

让我们看看不同的清理方法如何影响密码-

密码是 I'm a "dessert topping" & a <floor wax>! (密码末尾有5个空格,此处未显示。)

当我们使用以下修整方法时,会得到一些不同的结果:

var_dump(trim($_POST['upassword']));
var_dump(htmlentities($_POST['upassword']));
var_dump(htmlspecialchars($_POST['upassword']));
var_dump(addslashes($_POST['upassword']));
var_dump(strip_tags($_POST['upassword']));

结果:

string(40) "I'm a "dessert topping" & a <floor wax>!" // spaces at the end are missing
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // double quotes, ampersand and braces have been changed
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // same here
string(48) "I\'m a \"dessert topping\" & a <floor wax>!     " // escape characters have been added
string(34) "I'm a "dessert topping" & a !     " // looks like we have something missing

将它们发送到 password_hash() 会发生什么? 就像上面的查询一样,它们都被散列了。 当您尝试验证密码时出现问题。 如果我们采用这些方法中的一种或多种,​​则必须先重新使用它们,然后再将它们与 password_verify() 进行比较。 以下内容将失败:

password_verify($_POST['upassword'], $hashed_password); // where $hashed_password comes from a database query

您必须通过选择的清除方法来运行发布的密码,然后才能在密码验证中使用该密码的结果。 这是不必要的步骤,会使哈希变得更好。

使用的PHP版本低于5.5? 您可以使用 password_hash() 兼容性包

您确实不应该使用 MD5密码哈希

在对它们提供哈希值并将其存储在数据库中之前,应该如何转义或清除用户提供的密码?

当PHP开发人员出于安全目的考虑对用户密码进行哈希处理时,他们通常会像对待其他任何用户提供的数据一样考虑这些密码。 这个主题经常出现在与密码存储有关的PHP问题中。 开发人员通常希望在散列密码并将其存储在数据库中之前,使用诸如 escape_string() (在各种迭代中), htmlspecialchars()addslashes() 等函数清除密码。


在哈希密码之前,您应该按照 RFC 7613的第4节中的 描述对其进行规范化。 尤其是:

  1. 附加映射规则:非ASCII空间的任何实例都必须映射到ASCII空间(U + 0020); 非ASCII空间是指具有Unicode常规类别为“ Zs”的所有Unicode代码点(U + 0020除外)。

和:

  1. 规范化规则:Unicode规范化形式C(NFC)必须应用于所有字符。

这试图确保如果用户键入相同的密码但使用不同的输入方法,则该密码仍应被接受。





hash