散列值是否包含引號？

-1

如果它依賴於算法，我想知道使用phpass約blowfish。

我問關於SQL注入，因爲我不想prepare的查詢authentication和使用place holders，只是包裹在引號中username和password hash。（我也懷疑這是username安全，只是驗證只包含word chars [a-wA-W1-9_]（不含引號或其他特殊字符）？）

來源

2013-04-25 MTVS

驗證用戶名只包含你覺得能夠處理的字符是個好主意。但是也要尊重你的數據庫客戶端庫，並利用它提供的功能，如準備好的語句。 – hakre 2013-04-25 11:23:15

是的，散列值可以包含引號。以及用戶名。

你也不應該把你的數據庫交互作爲一個脆弱的假設，他們從來不應該擁有這個假設（因爲你希望這麼多，不要準備那些聽起來很荒謬的假設）。

取而代之，儘可能安全地進行數據庫查詢，無論您假定數據是什麼。有時候某些事情出錯了，你不希望存儲在持久層中的錯誤也不想爲SQL注入提供一個潛在的門。

來源

2013-04-25 11:11:58 hakre

散列值是否包含引號？

回答

相關問題