清理用户密码

在对它们提供哈希值并将其存储在数据库中之前，应如何转义或清除用户提供的密码？

当PHP开发人员出于安全目的考虑对用户密码进行哈希处理时，他们通常会像对待其他任何用户提供的数据一样考虑这些密码。这个主题经常出现在与密码存储有关的PHP问题中。开发人员通常希望在散列密码并将其存储在数据库中之前使用诸如escape_string()（在各种迭代中）htmlspecialchars()，addslashes()和等功能清除密码。

— 杰伊·布兰查德（Jay Blanchard）
source

您可以用户base64编码

— MSS

没有@MSS，您不应该这样做，因为base64是编码，而不是加密或散列。密码应始终为哈希值。

— 杰·布兰查德

我的意思是在哈希之前;）

— MSS

在散列之前，您应该也不需要这样做。这将导致您不得不编写不必要的附加代码@MSS

— Jay Blanchard

Answers:

password_hash()出于多种原因，您绝不能对将要用PHP进行哈希处理的密码进行转义，修整或使用任何其他清除机制，其中最大的一个原因是，对密码进行额外的清除需要不必要的额外代码。

您会争论不休（并且您会在接受系统使用用户数据的每篇文章中看到它），我们应该清除所有用户输入，并且您将接受我们从用户那里接受的所有其他信息。密码不同。哈希密码无法提供任何SQL注入威胁，因为在将字符串存储到数据库之前将其转换为哈希。

散列密码的行为是使密码安全地存储在数据库中的行为。哈希函数对任何字节都没有特殊的含义，因此出于安全原因，不需要清理其输入

如果您遵循允许用户使用他们想要的密码/短语的口头禅，并且您不限制密码，允许任何长度，任意数量的空格和任何特殊字符的散列，将使密码/密码安全，无论其中包含什么内容。密码。到目前为止，最常见的哈希（默认值）PASSWORD_BCRYPT将密码转换为60个字符的字符串，其中包含随机盐以及哈希密码信息和开销（创建哈希的算法开销）：

PASSWORD_BCRYPT用于使用CRYPT_BLOWFISH算法创建新的密码哈希。这将始终导致使用“ $ 2y $”密码格式的哈希，该格式始终为60个字符宽。

由于向函数添加了不同的哈希方法，因此存储哈希值的空间要求可能会发生变化，因此，最好为存储的哈希值在列类型上增大，例如VARCHAR(255)或TEXT。

您可以使用完整的SQL查询作为密码，并且会对其进行哈希处理，从而使其无法被SQL引擎执行，例如，

SELECT * FROM `users`;

可以哈希到 $2y$10$1tOKcWUWBW5gBka04tGMO.BH7gs/qjAHZsC5wyG0zmI2C.KgaqU5G

让我们看看不同的清理方法如何影响密码-

密码是 I'm a "dessert topping" & a <floor wax>!（末尾有5个空格，此处未显示。）

当我们使用以下修整方法时，我们会得到一些不同的结果：

var_dump(trim($_POST['upassword']));
var_dump(htmlentities($_POST['upassword']));
var_dump(htmlspecialchars($_POST['upassword']));
var_dump(addslashes($_POST['upassword']));
var_dump(strip_tags($_POST['upassword']));

结果：

string(40) "I'm a "dessert topping" & a <floor wax>!" // spaces at the end are missing
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // double quotes, ampersand and braces have been changed
string(65) "I'm a &quot;dessert topping&quot; &amp; a &lt;floor wax&gt;!     " // same here
string(48) "I\'m a \"dessert topping\" & a <floor wax>!     " // escape characters have been added
string(34) "I'm a "dessert topping" & a !     " // looks like we have something missing

将这些发送给时会发生什么password_hash()？就像上面的查询一样，它们都被散列。当您尝试验证密码时出现问题。如果我们采用这些方法中的一种或多种，则必须先重新使用它们，然后再与比较password_verify()。以下内容将失败：

password_verify($_POST['upassword'], $hashed_password); // where $hashed_password comes from a database query

您必须先通过选择的清除方法运行发布的密码，然后才能在密码验证中使用该密码的结果。这是不必要的步骤，会使哈希变得更好。

使用的PHP版本低于5.5？您可以使用password_hash() 兼容包。

您确实不应该使用MD5密码哈希。

— 杰伊·布兰查德（Jay Blanchard）
source

不可以。如果他创建的密码带有尾随空格（允许使用尾随空格），则必须在登录名@DanBracuk上使用它们

— Jay Blanchard

@DanBracuk怎么样？如果我们允许用户设置他/她想要的密码，包括前导/尾随空格？

— 杰·布兰查德

这就是为什么大多数情况都要求您两次输入所选密码的原因。如果用户无意中添加了空格，他们将在进一步解决之前弄清楚。如果用户故意这样做，那不是问题。

— 我曾经摔过一只熊。

@MargaretBloom，经验法则只是一种启发。我们有时仍需要仔细考虑，例如输入密码。您说的是“没人知道将来情况会如何变化”，但是似乎如果有什么改变，这是在将数据放入数据库之前我们将数据转义的方式，在这种情况下，如果密码为no，则用户会发现自己被锁定了。不再匹配我们存储的内容。不逃避密码散列与逃避密码散列的危险是什么？

— DavidS '16

确实：在正确将散列正确传递给参数化SQL查询的有限意义上，您当然会“转义”，其中SQL连接器中的某些代码可能会或可能不会执行与“转义”相对应的任何操作，您不会不知道也不在乎。您只需无需编写任何特定的代码即可实现这一目标，因为除非您先前做出了一些糟糕的生活决策，否则它对于所有SQL查询都是完全常规的。

— Steve Jessop

在哈希密码之前，您应该按照RFC 7613的第4节中的描述对其进行规范化。特别是：

其他映射规则：任何非ASCII空间的实例都必须映射到ASCII空间（U + 0020）；非ASCII空间是指具有Unicode常规类别为“ Zs”（U + 0020除外）的任何Unicode代码点。

和：

规范化规则：Unicode规范化形式C（NFC）必须应用于所有字符。

这试图确保如果用户键入相同的密码但使用不同的输入方法，则仍应接受该密码。

— 莱戈西亚
source

@DavidS，一本超级闪亮的北美Mac Book（乔在离开前曾使用过）和一台国际化程度不高的台湾网吧计算机（乔试图用来下载的是登机牌）。

— 玛格丽特·布鲁姆

听起来很神气。:-)不过谢谢。

— DavidS 2016年

嗯如果执行此操作，则还应该验证密码以拒绝包含尚未分配的字符的任何密码。如果用户使用NEWFANGLED SPACE（您的应用无法识别并因此原样哈希），然后升级Unicode字符数据库，然后突然将NEWFANGLED SPACE映射到SPACE，这会很糟，例如，不能再输入一个密码，该密码将您的应用程序哈希到旧哈希。

— ruakh

@JayBlanchard因为当您在一台计算机上按空格键而在另一台计算机上按空格键时，您可能会得到两个不同的Unicode代码点，并且它们将具有两种不同的UTF-8编码，而用户不会意识到任何事情。可以争辩说，这是您要忽略的问题，但是RFC 7613源自此类现实问题，而不是一项建议。

— 恢复莫妮卡

@ruakh一旦决定以某种方式处理密码，就必须继续以这种方式处理密码，否则对于现有的用例来说，事情将会中断。如果打算将来更改预处理方法，则应将其存储在密码的预处理和哈希表示形式中。这样，一旦收到输入，就可以根据要比较的内容选择预处理/哈希方法。

— 恢复莫妮卡