安全地清理給PHPass的密碼，反之亦然？

Question

從我對散列的一般理解來看，任何地方都可以將整個散列放到不同的球場......這讓我想到了......給PHPass提供密碼是一個好主意嗎？如果在將來的某個PHP版本中，他們決定改變使用他們的清理功能逃脫的內容，並且某人的密碼包括新逃脫的角色之一，這會導致他們的散列關閉，並且他們永遠無法恢復（重置時間不足）。

我意識到潛在的安全風險超過了一些密碼重置的不便之處，但我仍然對這一點感到好奇。這是一個合理的擔憂嗎？

Answer 1

我不明白爲什麼你需要清理密碼或大多數數據。您應該清理數據以使不安全用途安全（如從用戶指定的文件中讀取）。除此之外，所有其他內容在打印時應由htmlentities（$ data）處理，或者在MySQL查詢中使用mysql_real_escape_string（$ data）。從來沒有需要清理永不可見或永遠不會以不安全方式使用的數據（即在數據安全的情況下對數據進行清理）......它應該被轉義。

因此，不要在適當的時候進行清理，轉義......就像打印或查詢時一樣。