安全地清理给PHPass的密码，反之亦然？

Question

从我对散列的一般理解来看，任何地方都可以将整个散列放到不同的球场......这让我想到了......给PHPass提供密码是一个好主意吗？如果在将来的某个PHP版本中，他们决定改变使用他们的清理功能逃脱的内容，并且某人的密码包括新逃脱的角色之一，这会导致他们的散列关闭，并且他们永远无法恢复（重置时间不足）。

我意识到潜在的安全风险超过了一些密码重置的不便之处，但我仍然对这一点感到好奇。这是一个合理的担忧吗？

Answer 1

我不明白为什么你需要清理密码或大多数数据。您应该清理数据以使不安全用途安全（如从用户指定的文件中读取）。除此之外，所有其他内容在打印时应由htmlentities（$ data）处理，或者在MySQL查询中使用mysql_real_escape_string（$ data）。从来没有需要清理永不可见或永远不会以不安全方式使用的数据（即在数据安全的情况下对数据进行清理）......它应该被转义。

因此，不要在适当的时候进行清理，转义......就像打印或查询时一样。