我正在尝试通过确保数据对特定字段有效(例如名称不能包含特殊字符/数字等)来清理输入的任何数据。但是,我不确定当它出现时该怎么做到密码字段。由于密码只是散列,我什至需要进行任何清理工作吗?如果用户要通过密码文本框注入(inject)任何恶意内容,我是否应该费心检查任何可疑内容? AFAIK,一些用户可能(应该!)具有特殊字符,例如“< >”,这通常会触发潜在的攻击警报。我应该不清理密码字段吗?限制密码输入对我来说是最后的手段,因为我觉得用户应该在密码中使用各种字符。
谢谢
最佳答案
只要您在应用程序中对其进行散列处理,就应该没问题。
考虑到您使用的是 asp.net,这有点离题,但如果您使用的是 PHP 和 MySQL 并执行以下操作,则有一个明显的异常(exception):
UPDATE users SET password = PASSWORD('$pwd') WHERE userid = $uid
在这种情况下,您需要先清理 $pwd。
关于asp.net - 是否需要对密码输入进行清理?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2045188/