我知道要存储密码,您必须对其进行哈希处理。我用password_hash
和password_verify
来做到这一点。如何通过PHP验证密码?
但是我很惊讶有人说你不需要在哈希之前验证密码,因为无论如何你都要哈希它。
我认为至少这将是很好的做法,以验证用户输入与长度的密码超过字符的量或使用户能够输入特殊字符(*
,"
,'
等)。至少要使密码强大。
所以在这里我有一些问题:
- 是它认为是一个很好的做法无法验证有关密码任何东西,只有哈希呢?
- 在散列密码之前有额外的安全措施进行验证吗?
- 如果是这样,那么验证中应该考虑什么?
注意:我想从安全的角度来了解所有这些问题。
在此先感谢!
相关:http://www.xkcd.com/936/ – ceejayoz
[不限制密码。](http://jayblanchard.net/security_fail_passwords.html) –
我会避免在这里使用“验证” 。你正在讨论的是*密码强度要求*。 – ceejayoz