我想知道我在文件.htpasswd上配置的密码,以保护我的某些网站文件夹。
主要问题是当我输入有效的用户名和无效的密码时,它也可以让我进去。
但是,我输入的无效密码与我的配置密码的前8位匹配,我的意思是输入密码的前8位与真实密码的前8位相同。
答案 0 :(得分:2)
这是crypt()的已知限制
<强> From apache htpasswd documentation:
对密码使用crypt()加密。这不受支持 Windows和Netware上的httpd服务器。这个算法限制了 密码长度为8个字符。这个算法在今天是不安全的 标准。它曾经是2.2.17版本之前的默认算法。
使用crypt()算法时,请注意只有前8个 密码的字符用于形成密码。如果 提供的密码更长,额外的字符将是静默的 丢弃。