散列值是否包含引号？

-1

如果它依赖于算法，我想知道使用phpass约blowfish。

我问关于SQL注入，因为我不想prepare的查询authentication和使用place holders，只是包裹在引号中username和password hash。（我也怀疑这是username安全，只是验证只包含word chars [a-wA-W1-9_]（不含引号或其他特殊字符）？）

来源

2013-04-25 MTVS

验证用户名只包含你觉得能够处理的字符是个好主意。但是也要尊重你的数据库客户端库，并利用它提供的功能，如准备好的语句。 – hakre 2013-04-25 11:23:15

是的，散列值可以包含引号。以及用户名。

你也不应该把你的数据库交互作为一个脆弱的假设，他们从来不应该拥有这个假设（因为你希望这么多，不要准备那些听起来很荒谬的假设）。

取而代之，尽可能安全地进行数据库查询，无论您假定数据是什么。有时候某些事情出错了，你不希望存储在持久层中的错误也不想为SQL注入提供一个潜在的门。

来源

2013-04-25 11:11:58 hakre

散列值是否包含引号？

回答

相关问题