消毒一個PHP密碼字符串

Question

我有一個PHP頁面，允許人們運行htpasswd來更新他們的密碼。消除他們意見的最佳方式是什麼？我不想限制輸入，因爲我想允許安全密碼。這是我的。如何改進？

$newPasswd = preg_replace('/[^a-z0-9~!()_+=[]{}<>.\\\/?:@#$%^&*]/is', '', $inputPasswd); 
$cmdline = $htpasswd . " " . $passwd_file . " " . escapeshellarg($username) . " " .escapeshellarg($newpasswd); 
exec($cmdline, $output, $return_var); 

Answer 1

ecscapeshellarg函數內置於PHP，並且在基於shell的系統之間有所不同，以清理文本，以便不會將「不安全」字符傳遞到exec。

http://us2.php.net/manual/en/function.escapeshellarg.php

Answer 2

我不會用的preg_replace與「危險人物」空字符串，因爲這將讓用戶相信他改變密碼進入的東西，但你EXEC別的東西。所以用戶將密碼設置爲與他投入的東西不同......最好給用戶提供反饋，告訴他一些字符（最好是捕獲並顯示違規字符）沒有通過驗證。

除此之外，我覺得它看起來不錯。我認爲它爲用戶提供了廣泛的可能性，並且他不需要那些創建安全密碼的用戶。告訴用戶密碼中允許使用哪些字符也是有用的，所以他不必猜測。