Скрытый элемент формы Безопасность пароля

Question

Скрытый элемент формы Безопасность пароля

0

У меня есть форма, которая должна передавать данные на две страницы.

На странице 1 пользователь заполняет несколько деталей. Страница 2 представляет им экран подтверждения, где они могут либо договориться, либо вернуться и отредактировать их детали.

На странице 2 значения со страницы 1 хранятся в скрытых формах.

Например

<input type="hidden" name="user_email" value="[email protected]" />

Когда пользователь нажимает submit на странице 2, некоторые PHP-коды запускаются, и они добавляются на сайт.

На странице 1 пользователь вводит пароль, и моя забота заключается в том, как я обрабатываю это на стр. 2. Я не думаю, что вывод его в поле скрытой формы - хорошая идея. PHP, который работает, будет хэшировать этот пароль в любом случае, поэтому я думал о хэшировании между страницами 1 и 2, так что значение поля скрытой формы - хеш-версия вместо обычного текста. Есть ли еще лучший способ сделать это?

Nathan Dawson 17 апр. 2014, в 21:47

Источник

0

Если вы используете данные POST и ничего не добавляете к URL-адресу на странице 2, просто введите простой текстовый пароль в скрытое поле. Я бы настоятельно рекомендовал не помещать хешированный пароль в скрытое поле, потому что вы только что попросили его перепроектировать.
MonkeyZeus 17 апр. 2014, в 19:22
0

Почему вы думаете, что вывод пароля в скрытом поле формы не очень хорошая идея? Никто, кроме пользователя, не может прочитать его значение
hindmost 17 апр. 2014, в 19:24
2

@hindmost аддоны браузера, например, могут прочитать его. Или скопируйте и вставьте в форматированный текст, например, по электронной почте. Это просто не кажется мне хорошей идеей.
Wesley Murch 17 апр. 2014, в 19:25
0

@hindmost Я читал в другой ветке о кэшировании на диске, что может привести к тому, что pws будут храниться на сервере в виде простого текста, а также другим проблемам, приводящим к тому же результату.
Nathan Dawson 17 апр. 2014, в 19:30
0

@Wesley Murch В этом случае аддон браузера должен знать все о сайте OP, в том числе, где искать такое скрытое поле. Имхо слишком сложный сценарий.
hindmost 17 апр. 2014, в 19:35
0

@hindmost Это на самом деле совсем не сложно, но, конечно, вы захотите настроить таргетинг на популярный веб-сайт. Это всего лишь один пример, и мне его более чем достаточно.
Wesley Murch 17 апр. 2014, в 19:40
0

@Nathan Натан Доусон Я не предлагал вам хранить пароль на сервере в виде простого текста. Это действительно плохая идея. Но я не против пропустить незащищенный пароль через несколько страниц, в то время как метод POST используется для передачи
hindmost 17 апр. 2014, в 19:52

Показать ещё 5 комментариев

Теги:

php

html

forms

3 ответа

0

Введите данные, вставленные на страницу 1, в таблицу базы данных (называемую pending_user_register или что-то еще), которая имеет уникальный хеш (не просто используйте уникальный идентификатор), а затем ссылается на уникальный хеш в скрытом текстовом поле?

Или пройдите по простому маршруту и используйте $ _SESSION.

Или, используя описанный выше метод, но вместо скрытого поля поместите его в $ _SESSION.

Jono20201 17 апр. 2014, в 17:29

0

Вы можете использовать password_hash() и можете хранить пароль в session или cookie

ИЛИ может хранить user data в базе данных и добавлять user_id в session и использовать этот id для последующего updation of fields.

Parag Tyagi -morpheus- 17 апр. 2014, в 16:35

Ещё вопросы

Если вы используете данные POST и ничего не добавляете к URL-адресу на странице 2, просто введите простой текстовый пароль в скрытое поле. Я бы настоятельно рекомендовал не помещать хешированный пароль в скрытое поле, потому что вы только что попросили его перепроектировать.
Почему вы думаете, что вывод пароля в скрытом поле формы не очень хорошая идея? Никто, кроме пользователя, не может прочитать его значение
@hindmost аддоны браузера, например, могут прочитать его. Или скопируйте и вставьте в форматированный текст, например, по электронной почте. Это просто не кажется мне хорошей идеей.
@hindmost Я читал в другой ветке о кэшировании на диске, что может привести к тому, что pws будут храниться на сервере в виде простого текста, а также другим проблемам, приводящим к тому же результату.
@Wesley Murch В этом случае аддон браузера должен знать все о сайте OP, в том числе, где искать такое скрытое поле. Имхо слишком сложный сценарий.
@hindmost Это на самом деле совсем не сложно, но, конечно, вы захотите настроить таргетинг на популярный веб-сайт. Это всего лишь один пример, и мне его более чем достаточно.
@Nathan Натан Доусон Я не предлагал вам хранить пароль на сервере в виде простого текста. Это действительно плохая идея. Но я не против пропустить незащищенный пароль через несколько страниц, в то время как метод POST используется для передачи

cmorrissey · Accepted Answer · 2014-04-17T17-20-00.000Z

Используйте переменные сеанса для хранения этой информации, никогда не передавайте ее на страницу в виде скрытых полей формы. $_SESSION

Мне нравится этот подход. Я установил переменную сеанса для хэшированного PW. Функция для хэширования PW является частью хорошо известного приложения с открытым исходным кодом, поэтому я не слишком беспокоюсь о том, что он будет перепроектирован. Какова лучшая функция для очистки значения перед попыткой его использования?