Digite de configuração “Senha” entradas com valor de envio anterior após falha de validação
https://stackoverflow.com/questions/1343065
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou criando uma página de conta de criação para o nosso site. Eu sempre limpei o valor padrão = "" para um tipo = "senha" a entrada da paranóia, depois que um usuário enviar um formulário, mesmo que as duas senhas correspondam e sejam válidas. Comecei a pensar nisso depois que nosso designer me perguntou se havia algum ponto real para fazer isso. Certamente, posso ecoar as senhas no campo value = "" após o envio, se elas não forem a falha de validação ofensiva, mas existem vulnerabilidades associadas a essa abordagem? Estamos inadimplentes para HTTPS nesta página em particular. Sei que você pode fazer uma reescrita HTML para alterar o tipo de entrada de modo a estar ecoando em uma entrada não masculina, mas parece que isso só poderia afetar o usuário localmente.
Formulário de exemplo:
<input type="text" name="username" value="<?php echo $username; ?>">
<input type="password" name="password1" value="">
<input type="password" name="password2" value="">
Ao enviar, verifique se o nome de usuário parece um email adequado, as senhas correspondem e as senhas vencem nossos requisitos mínimos. Se o email ofender, mas as senhas não, eu poderia adicionar ...
<input type="password" name="password1" value="<?php echo $password1; ?>">
<input type="password" name="password2" value="<?php echo $password2; ?>">
... e não se preocupe? E não, não estou usando o Register Globals. Eu os retiro de $ _Post manualmente e faço a higienização primeiro.
Josh
Solução
Eu acho que você não deve fazer isso como colega pode roubar sua senha para a página de perfil e fazer uma fonte de exibição.
Você provavelmente não deve ser capaz de implementar essa funcionalidade se suas senhas forem embaralhadas usando um Hash seguro Como essa é uma única maneira e você não consegue recuperar a senha original.
Outras dicas
Eu acho que é uma má idéia fazê -lo dessa maneira, porque a fonte HTML pode ser armazenada em cache, mesmo quando você diz ao uso de cabeçalhos HTTP que não deve ser armazenado em cache. Isso depende dos navegadores, e a Microsoft sugere incluir uma etiqueta de cabeça adicional após a etiqueta corporal. A Microsoft tem mais informações Nesse "recurso" para o Internet Explorer.
