czy należy oczyszczać hasło z formularza ?, dane z formularza Opcje

[adamski9000]

Witam

Jak wiadomo, wszystkie dane wprowadzone przez użytkownika poprzez formularz należy oczyścić z niebezpiecznego kodu. Ale czy stosuje się ten zabieg także do haseł ?

Przykładowo czy podane hasło z formularza należy przepuścić przez poniższe funkcje czy też nie ?

[PHP] pobierz, plaintext 
 $haslo = htmlspecialchars(stripslashes(strip_tags(trim($_POST["haslo"]))), ENT_QUOTES);
[PHP] pobierz, plaintext 

pozdrawiam
Adam

[mortus]

Nie należy tego robić. Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych". Poza tym hasło powinno być zaszyfrowane (odpowiednią funkcją hashującą, np. md5 czy sha1) zanim zostanie wykorzystane w zapytaniu.

[l0ud]

Nie. Po co? Po prostu hashuj przed umieszczeniem w bazie i tyle.
Przy logowaniu hashuj znowu i porównuj.

Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych".

Po co? Wystarczy sprawdzić, czy jest wystarczająco bezpieczne.

Ten post edytował l0ud 27.01.2012, 21:42:20

[erix]

...i sprawdzić, czy pole nie przekracza jakiejśtam długości (sensownie wystarczy ok. 100 znaków), żeby nie zajeździć serwera hashowaniem jakichś gigantów.

[adamski9000]

Dzięki, teraz już wszystko jasne.