散列值是否包含引号?
如果它依赖于算法,我希望使用blowfish
了解phpass
。
我正在询问SQL注入,因为我不希望prepare
查询authentication
并使用place holders
,只需包装username
和{{引号中的1}} (我还怀疑password hash
只有username
只包含word chars [a-wA-W1-9_]
(没有引号或其他特殊字符)才能安全吗?)
答案 0 :(得分:2)
是的,哈希值可以包含引号。以及用户名。
你也不应该把你的数据库互动基于他们永远不应该拥有的脆弱假设(因为你非常希望不要准备哪些听起来很荒谬)。
而是使数据库查询尽可能安全,无论您认为数据是什么。有时在某些方面出现问题,你不希望存储在持久层中的错误,也不希望为SQL注入提供潜在的门。