我正在使用php和javascript开发一个weblog应用程序。我使用windows live ID进行身份验证。用户需要为windows live writer提供密码,因为live writer无法使用live id。
我想让用户在html webform中编辑他的密码。虽然密码被输入到仅显示*的密码字段中,但该值在html中清晰可见。有没有办法隐藏或掩盖html中的密码?我不能使用类型旧/类型新密码原则,因为不需要密码。有什么想法吗?
答案 0 :(得分:3)
如果他们看不到除“*”字符以外的任何内容,则他们无法编辑现有密码,因此请勿打扰设置该输入字段的值。让他们从头开始输入一个新的。
此外,通过HTTPS(而非HTTP)提供密码更改表单和POSTed响应,以保护新值。
答案 1 :(得分:0)
在大多数应用程序中,密码无法返回给用户以供他们编辑。我和大多数具有安全意识的程序员散列他们的密码,以便没有办法提出原始密码,应用程序只存储哈希。当有人登录该站点时,他们会获取提供的密码,对其进行哈希处理,并将其与存储的哈希值进行比较,以查看它是否匹配。这实际上保证了用户的密码不会通过SQL注入被盗。