哈希值是否包含引号?

时间:2013-04-25 11:10:03

标签: php mysql hash sql-injection phpass

散列值是否包含引号?

如果它依赖于算法,我希望使用blowfish了解phpass

我正在询问SQL注入,因为我不希望prepare查询authentication并使用place holders,只需包装username和{{引号中的1}} (我还怀疑password hash只有username只包含word chars [a-wA-W1-9_](没有引号或其他特殊字符)才能安全吗?)

1 个答案:

答案 0 :(得分:2)

是的,哈希值可以包含引号。以及用户名。

你也不应该把你的数据库互动基于他们永远不应该拥有的脆弱假设(因为你非常希望不要准备哪些听起来很荒谬)。

而是使数据库查询尽可能安全,无论您认为数据是什么。有时在某些方面出现问题,你不希望存储在持久层中的错误,也不希望为SQL注入提供潜在的门。