Форум PHP

спасибо. в общем-то теперь точно всё предельно ясно :)

>Где я в этой теме сказал, что пароль не нужно хешировать?

извиняюсь, я просто в понятиях запутался

>прошу чтобы вы объяснили почему в той теме нужно было хешировать чтобы md5 правильно сработала, а в этой - нет

Где я в этой теме сказал, что пароль не нужно хешировать?


>(я сам раньше никогда пароль не эскейпировал и не считал это нужным, но там Вы меня как-то переубедили, я имею ввиду про нарушение логики и тот пример в конце, а здесь как бы говорите обратное).

Пля.

Нужно ескейпить не пароль!
Пароль ескейпить не нужно!
C паролем кроме хеширования вообще ничего делать не нужно!
Но!
Нужно ескейпить любую строку перед тем, как окружитть её кавычками! Из пароля она выползла , из числа, из хеша или из еще чего нибудь - пофиг!!! Ескейпить и всё! Просто! На всякий случай! Как помыть руки перед тем, как взяться за нож на кухне! Неважно, чистые они у тебя или нет!


PS. - Прошу извинить, был напуган. (с)

идея предельно ясна.

>Вот я, заходя и регистрируясь на том или ином портале, аутентификацию которого делаю не сам, тоже желаю, представьте себе.
Чтобы мой пароль не хранили, не оставляли в кукисах чужих машин, не пересылали открытым кодом, не заставляли ограничивать в диапазоне и пр.

я тоже считаю что ограничивать пароль на какие-либо символы, держать в куках, в бд в открытом виде полный бред. я от вас совсем другого прошу! прошу чтобы вы объяснили почему в той теме нужно было хешировать чтобы md5 правильно сработала, а в этой - нет (я сам раньше никогда пароль не эскейпировал и не считал это нужным, но там Вы меня как-то переубедили, я имею ввиду про нарушение логики и тот пример в конце, а здесь как бы говорите обратное). Так что объясните пожалуйста всё-таки прямо, что за шляпа с этим md5 и что делать с паролем чтобы оан не волзникала если она вообще имеет место быть? (кстати ведь по сути вот это тоже не самый плохой вариант на крайняк:

ну допустим плохо применять mysql_escape_string к паролю при регистрации. но ведь что бы оно с ним не сделало, при последующей авторизации при применении той же mysql_escape_string проблем не возникнет. всё равно будет тот же результат например pa\'ssword как и при регистрации

Я так себе представляю, что Вы едите не только то, что сами себе готовите, но и то, что готовят другие люди (родственники, общепит, рестораны и т.п.)
И при этом, очевидно, желаете если не только вкусно поесть, но и не травануться, не нажить себе проблем с ЖКТ и пр.

Идея понятна?

Вот я, заходя и регистрируясь на том или ином портале, аутентификацию которого делаю не сам, тоже желаю, представьте себе.
Чтобы мой пароль не хранили, не оставляли в кукисах чужих машин, не пересылали открытым кодом, не заставляли ограничивать в диапазоне и пр.

так-то.
вероятность прокола и там и здесь примерно одинакова.
Этот портал тому подтверждение.

Э... какие теги в пароле? Вы о чем?

name: GeorgeIV
pass: <?php echo '<b>GeorgeIV</b>'; ?>

выходит такая связка опасна?

Тэгов уже точно не будет

еще б с шашлыком сравнили :)
однако сложный Вы человек :)

>не допускайте, например, ввода <>
Но почему?!

>Я думаю, что длина пароля гораздо важнее его состава.

Играют обе величины.

По той же причине, по которой будет рушиться вкус пирожка с мясом , если из печи его сунуть в мясорубку.
Или если мясо для него сперва запинать в печь.
вроде и печь нужна и мяорубка - ан нет.
Технология нарушена.
Почему нарушена?
Потому что повар не понимает физики процессов, происходящих в мясорубке и в печи.