我为用户名创建了ajax onchange验证。如果用户输入已存在的用户名或包含无效字符或更短等,则会立即收到警告:用户名已存在/包含无效字符/短于...
Ajax onchange接受用户输入,并使用php验证。
现在我在想。通过这种方式,可能的暴力攻击者很容易获得有关现有用户名的信息......?或者没有危险....?
答案 0 :(得分:0)
基本上所有用户名验证请求的工作方式都是向服务器发送请求。仅仅因为你在这里使用AJAX并不会使它更容易受到暴力攻击。
但请记住一些事项 比如@NickFury说,确保你有一个重试限制。也许使用指数增加的密码重试时间。
实施良好的密码大小限制和其他指南以及重试限制将使暴力实际上变得不可能。 然而如果用户决定使用welcome作为他/她的密码而导致他们的错误。
但请确保您永远不会将密码作为纯文本存储在数据库中。总是使用像BCrypt这样的东西。