0

我为用户名创建了 ajax onchange 验证。如果用户输入的用户名已经存在或包含无效字符或较短等,则立即收到警告:用户名已存在/包含无效字符/短于...

Ajax onchange 接受用户输入,并通过 php 验证。

现在我在想。以这种方式,可能的蛮力攻击者很容易获得有关现有用户名的信息......?还是没有危险……?

4

1 回答 1

0

本质上,所有用户名验证请求的工作方式是向服务器发送请求。仅仅因为您在这里使用 AJAX 并不会使其更容易受到蛮力攻击。

但是请记住@NickFury 所说的一些事情,请确保您有重试限制。也许使用成倍增加的密码重试时间。

强制实施良好的密码大小限制和其他准则以及重试限制将使暴力破解几乎不可能。但是,如果用户决定使用welcome他/她的密码,那是他们的错。

但请确保永远不要将密码以纯文本形式存储在数据库中。始终使用 BCrypt 之类的东西。

于 2013-02-17T19:13:25.850 回答