我尝试通过确保数据对特定字段有效来净化输入的任何数据(例如,名称不能包含特殊字符/数字等)但是,我不知道在密码字段中该怎么做。我是否需要进行任何清理,因为密码只是简单的散列?如果用户通过密码文本框注入任何恶意内容,我应该检查可疑的东西吗?当然,有些用户可能(应该!)有特殊字符,如'〈〉',这通常会触发潜在的攻击警报。我应该不清理密码字段吗?限制密码输入是我的最后手段,因为我觉得用户应该在密码中使用各种字符。谢谢
nuypyhwy1#
只要您在应用程序中对它进行散列处理,就应该没问题。
ilmyapht2#
如果你担心SQL注入攻击,你应该开始使用参数化查询来与你的数据库交互。因为这是一个商业规则,以确定什么是有效的字符密码,我不会剥夺任何东西,而我的客户不这样说。所有其他输入都应该被净化,因为它们也可能显示在页面输出上,并可能导致XSS攻击。
2条答案
按热度按时间nuypyhwy1#
只要您在应用程序中对它进行散列处理,就应该没问题。
ilmyapht2#
如果你担心SQL注入攻击,你应该开始使用参数化查询来与你的数据库交互。因为这是一个商业规则,以确定什么是有效的字符密码,我不会剥夺任何东西,而我的客户不这样说。
所有其他输入都应该被净化,因为它们也可能显示在页面输出上,并可能导致XSS攻击。