[dyskusja] Filtrowanie hasła, czy trzeba, gdy jest kodowane w md5? Opcje

[Athlan]

Od kilku dni dręczy mnie myśl, że teoretycznie hasła, które jest kodowane na bieżąco w ten sposób, nie trzeba filtrować:

[PHP] pobierz, plaintext 
<?php
 
$password = "jakaś-wartosc-md5"; //haslo, ktore trzeba podac
 
if($_POST['pass'])
{
  if(md5($_POST['pass']) == $password)
  {
	return 1;
  }
  else
  {
	return 0;
  }
}
else
{
echo'<form action="'.$_SERVER['PHP_SELF'].'"><input type="password" name="pass"><input type="submit" value="Loguj"></form>';
}
 
?>
[PHP] pobierz, plaintext 

Moim zdaniem zmienna $_POST['pass'] nie powinna przechodzić filtrów typu htmlspecialchars(), czy addslashes(), bo po co, skoro jest porównywana w md5() i nie jest wyświetlana na stronie?

Inaczej, gdybyśmy wyświetlili tą wartość na stronie, wtedy filtry są zalecane (wymagane w sumie).

Co Wy na ten temat sądzicie?

[Athlan]

Gratuluje dojscia do tak wspanialnego wniosku (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Wszyscy mi trują że mam filtrować, no ale jak widać na powyższym przykładnie - NIE TRZEBA (chyba), ale czy to jest do złamania (przez potencjalnego hakera) jak coś namiesza ze slaschami ?

Pamiętam jak w phpBB było coś takiego w bbcode, dało się co nieco wtrzyknąć (ale nie wiem, czy ma to jakikolwiek związek z owym topickiem)

P.S. może dodam: nie odwołuje się w tym przypadku do bazy danych, tylko do zmiennej z konfigu, przy bazie danych filter byłby wskazany (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ten post edytował Athlan 18.05.2006, 10:26:02