[dyskusja] Filtrowanie hasła, czy trzeba, gdy jest kodowane w md5? Opcje

[Athlan]

Od kilku dni dręczy mnie myśl, że teoretycznie hasła, które jest kodowane na bieżąco w ten sposób, nie trzeba filtrować:

[PHP] pobierz, plaintext 
<?php
 
$password = "jakaś-wartosc-md5"; //haslo, ktore trzeba podac
 
if($_POST['pass'])
{
  if(md5($_POST['pass']) == $password)
  {
	return 1;
  }
  else
  {
	return 0;
  }
}
else
{
echo'<form action="'.$_SERVER['PHP_SELF'].'"><input type="password" name="pass"><input type="submit" value="Loguj"></form>';
}
 
?>
[PHP] pobierz, plaintext 

Moim zdaniem zmienna $_POST['pass'] nie powinna przechodzić filtrów typu htmlspecialchars(), czy addslashes(), bo po co, skoro jest porównywana w md5() i nie jest wyświetlana na stronie?

Inaczej, gdybyśmy wyświetlili tą wartość na stronie, wtedy filtry są zalecane (wymagane w sumie).

Co Wy na ten temat sądzicie?

[dr_bonzo]

Moim zdaniem zmienna $_POST['pass'] nie powinna przechodzić filtrów typu htmlspecialchars(), czy addslashes()

Na WEJSCIU zadna zmienna nie powinna byc traktowana tymi funkcjami -- addslashes() jest nieodpowiednie przy dodawaniu danych do bazy -- uzyj mysql_real_escape czy podobnych.
htmlspecialchars -- uzywasz przy wypisywaniu danych do przegladarki (np. zeby wypisac kod html -- tak jak tutaj na forum)

Przy okazji chcialbym Ci powiedziec, ze jesli uzywasz PDO to w ogole juz prawie nic nie musisz filtrowac (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

$stmt->bindPAram( 'name', $value, PDO::ATTR_STR );
to chyba *jest* filtrowanie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tyle ze funkcje filtrujace sa juz napisane