这个问题在这里已经有了答案:Reference-PasswordValidation(1个回答)关闭4年前。我在网络上看到了以下正则表达式。(?=^.{8,}$)((?=.*\d)|(?=.*\W+))(?![.\n])(?=.*[A-Z])(?=.*[a-z]).*$它仅在以下字符串时验证:*containatleast(1)uppercaseletter*containatleast(1)lowercaseletter*containatleast(1)numberorspecialcharacter*containatleast(8)charactersinlength我想知道如
有人告诉我电子邮件是一种劣质盐,因为它不是唯一的并且与用户相关。如果用户在2个站点上使用相同的密码,则哈希值将相等。那么,它有什么问题呢?什么是攻击场景?假设我们有散列和盐。因此,其他站点在其数据库中具有相同的哈希值。我们怎么能在其他网站上对这个用户造成任何伤害?我们可以吗?我看不到任何可能性,但我不是安全专家,所以,我想听听那些当然有实际和具体答案的人的意见。/p>我不会破坏任何东西。我在这个问题的背景下问这个问题:电子邮件或(注册时间戳)是一个很好的盐吗?请提供一些实用的答案。 最佳答案 盐的意义不是未知的,它是为了防止攻击者将
有人告诉我电子邮件是一种劣质盐,因为它不是唯一的并且与用户相关。如果用户在2个站点上使用相同的密码,则哈希值将相等。那么,它有什么问题呢?什么是攻击场景?假设我们有散列和盐。因此,其他站点在其数据库中具有相同的哈希值。我们怎么能在其他网站上对这个用户造成任何伤害?我们可以吗?我看不到任何可能性,但我不是安全专家,所以,我想听听那些当然有实际和具体答案的人的意见。/p>我不会破坏任何东西。我在这个问题的背景下问这个问题:电子邮件或(注册时间戳)是一个很好的盐吗?请提供一些实用的答案。 最佳答案 盐的意义不是未知的,它是为了防止攻击者将
使用没有数据库或用户名但使用php密码保护文件夹的最佳方法是什么?基本上我有一个页面将列出组织的联系人并且需要密码保护该文件夹而不需要为每个用户提供帐户。只有一个密码会经常更改并分发给组。我知道它不是很安全,但我仍然想知道如何做到这一点。以最好的方式。如果密码在用户输入正确后能记住一段时间就好了。除了不使用cookie外,我大致按照DavidHeggie的建议进行操作。它看起来确实很不安全,但最好有一个糟糕的密码保护,而不是根本没有。这是针对内部网站的,人们会花很多时间记住他们的登录名和密码,并且永远不会通过注册过程...除非真的很容易,否则他们不会使用该系统根本。我想看看这个问题的其
使用没有数据库或用户名但使用php密码保护文件夹的最佳方法是什么?基本上我有一个页面将列出组织的联系人并且需要密码保护该文件夹而不需要为每个用户提供帐户。只有一个密码会经常更改并分发给组。我知道它不是很安全,但我仍然想知道如何做到这一点。以最好的方式。如果密码在用户输入正确后能记住一段时间就好了。除了不使用cookie外,我大致按照DavidHeggie的建议进行操作。它看起来确实很不安全,但最好有一个糟糕的密码保护,而不是根本没有。这是针对内部网站的,人们会花很多时间记住他们的登录名和密码,并且永远不会通过注册过程...除非真的很容易,否则他们不会使用该系统根本。我想看看这个问题的其
我正在为我的网站安装用户注册脚本(TankAuth)。在安装指南中说,WARNING:Bydefaultthelibrarygeneratesstrongsystem-specificpasswordhashesthatarenotportable.Itmeansthatoncecreated,userdatabasecannotbedumpedandexportedtoanotherserver.Thisbehaviorcanbechangedinconfig-fileaswell.这让我进退两难。将来我可能想更改服务器,但我也不想要弱密码。可移植密码哈希有很大风险吗?更重要的是,哈
我正在为我的网站安装用户注册脚本(TankAuth)。在安装指南中说,WARNING:Bydefaultthelibrarygeneratesstrongsystem-specificpasswordhashesthatarenotportable.Itmeansthatoncecreated,userdatabasecannotbedumpedandexportedtoanotherserver.Thisbehaviorcanbechangedinconfig-fileaswell.这让我进退两难。将来我可能想更改服务器,但我也不想要弱密码。可移植密码哈希有很大风险吗?更重要的是,哈
我想知道此功能(部分取自〜2岁的phpBB版本)是否足够好。如果没有,为什么?以及您将如何更改它(使现有用户无缝过渡)?hash_pwd()的结果将保存在数据库中。functionhash_pwd($password){$itoa64='./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';$random_state=$this->unique_id();$random='';$count=6;if(($fh=@fopen('/dev/urandom','rb'))){$random=fread($fh,$c
我想知道此功能(部分取自〜2岁的phpBB版本)是否足够好。如果没有,为什么?以及您将如何更改它(使现有用户无缝过渡)?hash_pwd()的结果将保存在数据库中。functionhash_pwd($password){$itoa64='./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';$random_state=$this->unique_id();$random='';$count=6;if(($fh=@fopen('/dev/urandom','rb'))){$random=fread($fh,$c
我想创建一个token生成器,它生成用户无法猜到且仍然唯一的token(用于密码重置和确认码)。我经常看到这段代码;有意义吗?md5(uniqid(rand(),true));根据commentuniqid($prefix,$moreEntopy=true)产量first8hexchars=Unixtime,last5hexchars=microseconds.不知道$prefix-参数是怎么处理的..因此,如果您不将$moreEntopy标志设置为true,它会给出可预测的结果。问题:但是,如果我们将uniqid与$moreEntopy一起使用,那么使用md5对其进行哈希处理能给我们
