消毒一个PHP密码字符串

Question

我有一个PHP页面，允许人们运行htpasswd来更新他们的密码。消除他们意见的最佳方式是什么？我不想限制输入，因为我想允许安全密码。这是我的。如何改进？

$newPasswd = preg_replace('/[^a-z0-9~!()_+=[]{}<>.\\\/?:@#$%^&*]/is', '', $inputPasswd); 
$cmdline = $htpasswd . " " . $passwd_file . " " . escapeshellarg($username) . " " .escapeshellarg($newpasswd); 
exec($cmdline, $output, $return_var); 

Answer 1

ecscapeshellarg函数内置于PHP，并且在基于shell的系统之间有所不同，以清理文本，以便不会将“不安全”字符传递到exec。

http://us2.php.net/manual/en/function.escapeshellarg.php

Answer 2

我不会用的preg_replace与“危险人物”空字符串，因为这将让用户相信他改变密码进入的东西，但你EXEC别的东西。所以用户将密码设置为与他投入的东西不同......最好给用户提供反馈，告诉他一些字符（最好是捕获并显示违规字符）没有通过验证。

除此之外，我觉得它看起来不错。我认为它为用户提供了广泛的可能性，并且他不需要那些创建安全密码的用户。告诉用户密码中允许使用哪些字符也是有用的，所以他不必猜测。