您應該在哈希之前清潔密碼嗎？

使用者密碼安全：反對預先清潔

的案例

保護使用者密碼至關重要。 雖然在PHP中對使用者輸入進行消毒是不必要的，但是預敲密碼清潔是不必要的且可能有害的。

>

>為什麼跳過密碼清潔？

• 冗餘代碼：添加清潔步驟會增加程式碼複雜性，而無需提供任何真正的好處。
>
• 沒有安全增益：雜湊密碼不受SQL注入漏洞的影響，因為它們在>資料庫儲存之前轉換為hashes>。
• >雜湊接受所有字元：像bcrypt這樣的現代雜湊演算法很容易處理密碼字串中的任何字符，包括空格和特殊字元。 >

修剪：驗證問題的來源

即使是修剪空格等看似無害的行為也會造成驗證問題。 如果實現了清潔，則必須在密碼儲存和驗證期間始終應用，這使得過程變得複雜。

>消毒對密碼雜湊的影響

應用各種消毒技術（例如，

，

，trim，htmlentities，htmlspecialchars，addslashes）可以更改密碼內容，從而導致驗證失敗。 strip_tags

>摘要中：

>預用密碼清潔是不必要的，效率低的，並且可以引入漏洞。 密碼安全的強度僅在於雜湊演算法本身，使清潔量變得多餘。 省略此步驟簡化了您的程式碼並加強了您的應用程式的安全性。

以上是您應該在哈希之前清潔密碼嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！