-1
散列值是否包含引号?散列值是否包含引号?
如果它依赖于算法,我想知道使用phpass
约blowfish
。
我问关于SQL注入,因为我不想prepare
的查询authentication
和使用place holders
,只是包裹在引号中username
和password hash
。 (我也怀疑这是username
安全,只是验证只包含word chars [a-wA-W1-9_]
(不含引号或其他特殊字符)?)
验证用户名只包含你觉得能够处理的字符是个好主意。但是也要尊重你的数据库客户端库,并利用它提供的功能,如准备好的语句。 – hakre 2013-04-25 11:23:15