PHP でハッシュする前にパスワードをエスケープするかクレンジングする必要がありますか?

エスケープやクレンジングを行わずにユーザー パスワードをハッシュする

はじめに:

多くの PHP 開発者は、ユーザーが指定したパスワードは次のとおりであると誤解しています。セキュリティ上の理由から、ハッシュする前にエスケープまたはクレンジングする必要があります。この質問では、この行為が不必要で潜在的に有害な理由を探ります。

答え:

エスケープや浄化の必要はありません

PHPのpassword_hash()を使用してパスワードをハッシュする前に、パスワードをエスケープしたり、クレンジングメカニズムを適用したりしないでください。 関数。その理由は次のとおりです。

• 追加のセキュリティは不要です。 文字列はデータベースに保存される前にハッシュに変換されるため、ハッシュされたパスワードは SQL インジェクション攻撃の影響をほとんど受けません。
• 複雑さの追加: 追加のクレンジング措置を実装すると、不要なコードと潜在的なセキュリティが導入されます。脆弱性。

ハッシュによりすべての入力から保護

ユーザーが SQL クエリ全体をパスワードとして入力した場合でも、ハッシュによりそれが次のように変換され安全になります。認識できないハッシュ。悪意のあるコードが保存されるのを防ぐために特別なクレンジングは必要ありません。

サニタイズ方法の影響

サニタイズ方法が異なるとパスワードが大幅に変更される可能性があり、比較する際に検証の問題が発生する可能性があります。保存されているハッシュ化されたパスワードを使用します。これらの方法は追加のセキュリティを提供しないため、ハッシュ化する前に回避することが重要です。

結論:

ハッシュ化する前にユーザー パスワードをエスケープまたはクレンジングすることは不要であり、可能性があります。有害。 PHP のpassword_hash() 関数は、追加の変更を必要とせずに、パスワードを効果的に保護します。

以上がPHP でハッシュする前にパスワードをエスケープするかクレンジングする必要がありますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。