-1
散列值是否包含引號?散列值是否包含引號?
如果它依賴於算法,我想知道使用phpass
約blowfish
。
我問關於SQL注入,因爲我不想prepare
的查詢authentication
和使用place holders
,只是包裹在引號中username
和password hash
。 (我也懷疑這是username
安全,只是驗證只包含word chars [a-wA-W1-9_]
(不含引號或其他特殊字符)?)
驗證用戶名只包含你覺得能夠處理的字符是個好主意。但是也要尊重你的數據庫客戶端庫,並利用它提供的功能,如準備好的語句。 – hakre 2013-04-25 11:23:15