 [PHP]czy nalezy filtrowac dane z inputa password? |
| [PHP]czy nalezy filtrowac dane z inputa password? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 200 Pomógł: 1 Dołączył: 4.08.2012 Ostrzeżenie: (10%) 
 |
witam zalozmy ze mam na stornie autoryzacje uzytkownikow. login,haslo,email.
login i email filtruje strip tags oraz trim. a co z hasłem? strip_tags usunie znaki specjalne, przez co uzytkownik nie bedzie sie mogl po rejestracji zalogowac i nie bedzie wiedział co sie dzieje. a czy jak nie zrobie filtracji to moze mi sie włamac na strone przez formularz? ciezka sprawa, co robic? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Zacznijmy od tego, że głupotą jest obarczanie bazy takim zadaniem, jak hashowanie. Ktoś nie filtruje długości pola i mamy zajechany serwer. (IMG:style_emoticons/default/tongue.gif)
Tak, pole na hasło trzeba filtrować. Właśnie ze względu na długość, bo jakoś nie spotkałem się z sytuacją, w której ktoś używa haseł dłuższych niż 100 znaków, a brak obcinania do jakiejś długości po prostu zajedzie Ci serwer, gdy do hashowania puści Ci kilka MiB, zwłaszcza gdy używasz hasha, który celowo jest zasobożerny. |
|
|
|
|
Post
#3
|
|
|
Developer Grupa: Moderatorzy Postów: 3 045 Pomógł: 290 Dołączył: 20.01.2007 |
Cytat(erix @ 23.10.2012, 13:30:26 )  Zacznijmy od tego, że głupotą jest obarczanie bazy takim zadaniem, jak hashowanie. (...) Tu się w żadnym wypadku nie zgodzę. Weryfikacja długości pola to jest jedna sprawa, a używanie funkcji hashujących w zapytaniu to druga. Równie dobrze możemy powiedzieć że używanie CONCAT to głupota z tego samego powodu. Zresztą tak jak napisałem w poprzednim poście, trzeba filtrować każde pole. Nigdy nie powinno się ufać danym pochodzącym od użytkownika. |
|
|
|
michat34 [PHP]czy nalezy filtrowac dane z inputa password? 21.10.2012, 18:56:53 
abort A co do hasła:
1. trzymasz zakodowane w bazie
2. p... 21.10.2012, 19:07:08 michat34 wiem o hashowaniu
ale mi chodzi o to czy przed wy... 21.10.2012, 19:21:07 Crozin Skoro wiesz o hashowaniu to niby jakim cudem do ba... 21.10.2012, 19:29:52 PanGuzol W obu przypadkach do zapytania podajesz hash hasła... 21.10.2012, 19:31:58 michat34 ok dziekuje wszystkim tak zrobie 21.10.2012, 19:40:31 pamil Cytat(michat34 @ 21.10.2012, 19:56:53... 22.10.2012, 19:40:01 webdice Generalnie powinieneś filtrować każde dane. Często... 23.10.2012, 07:33:45 erix CytatTu się w żadnym wypadku nie zgodzę.
Jakieś ar... 24.10.2012, 11:55:17 webdice Piszesz że korzystanie z hasowania w zapytaniu jes... 24.10.2012, 14:02:26 erix Ale fakt wydajności, to tylko jeden z powodów.
Ad... 24.10.2012, 14:30:22 Niktoś Ja się zgodzę z erixem, że należy filtrować dane p... 24.10.2012, 14:34:43 webdice ~Niktoś długości nie sprawdzałbym wyrażeniami regu... 24.10.2012, 16:07:20 erix Cytat~erix nie popadajmy w paranoje, jeśli chcemy ... 25.10.2012, 12:07:20 
nospor Nawet jak postawisz SSL to admin serwera może popr... 25.10.2012, 12:16:51  |
|
Aktualny czas: 14.09.2025 - 19:57 |
