![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 70 Pomógł: 1 Dołączył: 25.04.2009 Ostrzeżenie: (0%) ![]() ![]() |
Napisałem sobie skrypt który zapisuje mi użytkowników do bazy danych.Zastanawiam się nad jego bezpieczeństwem moglibyście rzucić okiem ?
Proszę, bo naczytałem się w internecie: zawsze addslashed i htmlspecialchars(), moża też spotkać coś takiego : $email = htmlspecialchars(stripslashes(strip_tags(trim($_POST["email"]))), ENT_QUOTES); <- tworzenie takiego czegoś dla hasła kompletnie go zmieni. Przeglądałem i zastanawiałem się nad moim kodem wiele razy, według mnie nie ma żadnej luki.Ale nie daje mi to spokoju.
/--------------------------------- przepraszm za dziwne tab'y. Ten edytor coś wyzmieniał mi dlatego jest nieczytelnie. Ten post edytował tadeurz 1.02.2013, 16:51:09 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 578 Pomógł: 69 Dołączył: 15.04.2007 Skąd: Wrocław Ostrzeżenie: (0%) ![]() ![]() |
Nie widzę potrzeby używania w haśle tych funkcji - i tak jest ono hashowane.
A co do reszty: strlen($password) < 40 To nie ma żadnego sensu (w bazie i tak zapisujesz hasha, który zawsze ma taką samą długość). strlen($password) >= 20 Przesadziłeś. Nawet do banku mam o wiele krótsze hasło. Dodatkowo obsługa błądów. Rozumiem że jeśli $passwordOK==False, to użytkownik otrzyma informację: "hasło jest za krótkie, lub hasło jest za długie, lub hasło nie zostało wpisane, lub inny błąd skryptowy." Trochę to za mało szczegółowe i powinno być rozdzielone na 4 przypadki. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 17.10.2025 - 23:57 |