2
建議不要信任用戶,並在將所有輸入存儲在數據庫中之前過濾所有輸入,以避免sql注入等。在將數據存儲到數據庫之前,我應該過濾用戶密碼嗎?
用戶密碼怎麼樣?在儲存之前我應該進行任何消毒嗎?如果我這樣做,用戶輸入密碼登錄可能不符合已消毒的版本。
(密碼在被存儲之前被加密)。
最佳做法是什麼?
A
回答
3
建議不要信任用戶,並在將所有輸入存儲到數據庫之前過濾所有輸入,以避免sql注入等。
不,完全沒有。建議使用預準備語句避免SQL注入,並在顯示數據時避免通過正確轉義特殊字符來避免HTML /腳本注入。
我應該將它們存儲
之前沒有進行任何消毒的,你不應該。而且你也不應該加密密碼。您應該使用像Bcrypt這樣的強大的加密算法對它們進行哈希和散列。
+0
Bcrypt是一種安全的方法,不僅僅是一個鹽漬散列,它是一種迭代方法,需要大約100ms的計算時間 – zaph
0
我應該執行任何種類的衛生處理存儲在他們面前......
除了JB Nizet的回答相對於存儲,你應該之前過濾他們接受一個。考慮一下,Password1符合NIST的安全要求,但它也在[幾乎]每個攻擊者的前N個密碼列表中。顯然,你不希望攻擊者能夠使用他們最喜歡的密碼列表來對付你。
列表本身可能相當大。我見過10,000,100,000和1,000萬的大小。使用布隆過濾器可以將列表壓縮到20KB或40KB。然後,當用戶選擇密碼時,根據過濾器檢查候選密碼。 Bloom過濾器會產生一些誤報,但沒關係。只要求用戶選擇不同的密碼。
下面是一個帶有10000個密碼列表的GitHub:noloader/Password-Lists。另一個列表可在danielmiessler/SecLists。另見Peter Gutmann的Engineering Security, Chapter 6: Passwords。
相關問題
- 1. 貝寶數據在存儲之前應該進行加密嗎?
- 2. 應該加密數據base64編碼以將其存儲在數據庫中嗎?
- 3. 我應該使用base64編碼在數據庫表中存儲密碼嗎?
- 4. 我應該在將OpenId Claimer標識符存儲到我的數據庫之前對其進行加密嗎?
- 5. 我應該在存儲到數據庫之前修剪字符串嗎?
- 6. 我們應該在數據庫中存儲數據嗎?
- 7. 我應該將位圖存儲在SQLITE數據庫中嗎
- 8. 在數據庫中存儲用戶密碼/數據
- 9. 我應該在Mongo之前還是之後存儲數據?
- 10. 我應該在哪裏以及如何存儲租戶數據庫密碼?
- 11. 我應該將掩碼值保存在數據庫中嗎?
- 12. 我應該在會話中存儲用戶數據嗎?
- 13. 我應該在加密CloudSQL數據庫中的數據嗎?
- 14. 我應該在我的數據庫中存儲html標籤嗎^
- 15. 在將數據存儲到數據庫之前轉義/編碼用戶輸入還是將它存儲爲數據庫並在檢索時將其轉義?
- 16. 我應該將參考數據存儲在我的應用程序內存或數據庫中嗎?
- 17. 我應該在mongodump/mongorestore之前壓縮MongoDB數據庫嗎?
- 18. 我應該在散列之前對數據進行編碼嗎?
- 19. 密碼salt應該存儲在數據庫的自己的字段中嗎?
- 20. 在存儲到SQL數據庫之前手動檢查數據
- 21. 將密碼和信息存儲在數據庫中時用戶名應該散列嗎?
- 22. 我應該將維基百科數據保存到我的數據庫嗎?
- 23. 散列密碼時,我應該將散列函數名稱存儲在數據庫中嗎?
- 24. 如何在將數據源應用到ListView之前過濾數據源
- 25. 我應該在ViewState中存儲數據庫ID字段嗎?
- 26. 我應該在SQLite數據庫中存儲圖像嗎?
- 27. 如何在將密碼存儲在我的數據庫之前安全地對密碼進行哈希處理?
- 28. 在存入數據庫之前加密密碼?
- 29. 如何密碼儲存在數據庫
- 30. 在Web數據庫中存儲密碼?
**不要**將簡單的密碼存儲在數據庫中。而是用隨機鹽迭代HMAC約100ms持續時間,並用散列保存鹽。使用諸如「PBKDF2」(又名'Rfc2898DeriveBytes'),'password_hash' /'password_verify','Bcrypt'和類似函數的函數。關鍵是要讓攻擊者花費大量時間通過強力查找密碼。保護您的用戶非常重要,請使用安全的密碼方法。 – zaph