-1

哈希值是否包含引号?

如果它依赖于算法,我想知道blowfish使用phpass.

我问的是关于 SQL 注入prepare的问题,因为我不希望查询 forauthentication和 use place holders,只是将usernameandpassword hash括在引号中。(我也怀疑username仅由word chars [a-wA-W1-9_](无引号或其他特殊字符)组成时是否安全?)

4

1 回答 1

2

是的,哈希值可以包含引号。以及用户名。

你也不应该把你的数据库交互建立在他们永远不应该有的脆弱假设上(因为你非常希望不要准备这听起来很荒谬)。

相反,无论您假设数据是什么,都应使数据库查询尽可能安全。有时事情会在某些方面出错,您不希望将错误存储在持久层中,也不希望为 SQL 注入提供潜在的门。

于 2013-04-25T11:11:58.977 回答