PHPパスワード文字列のサニタイズ

Question

htpasswdを実行してパスワードを更新できるPHPページがあります。彼らの入力を害する最善の方法は何ですか？私は安全なパスワードを許可したいので、入力を多く制限したくありません。これは私が持っているものです。どのように改善することができますか？

何か他のことは、ユーザは、彼が何かにパスワードを変更したと信じて行いますので、私は、「危険な文字」に空の文字列とにpreg_replaceを使用することはありませんが、あなたは、EXEC

$newPasswd = preg_replace('/[^a-z0-9~!()_+=[]{}<>.\\\/?:@#$%^&*]/is', '', $inputPasswd); 
$cmdline = $htpasswd . " " . $passwd_file . " " . escapeshellarg($username) . " " .escapeshellarg($newpasswd); 
exec($cmdline, $output, $return_var); 

Answer 1

ecscapeshellarg関数はPHPに組み込まれており、シェルに基づいてシステム間で異なるため、テキストに消毒を施し、「安全でない」文字をexecに渡すことはできません。

http://us2.php.net/manual/en/function.escapeshellarg.php

Answer 2

...だから、ユーザーはにパスワードを設定します彼が入れたものとは違ったもの...ユーザーにいくつかのキャラクター（怪しいキャラクターを捕捉して表示する）が検証をパスしなかったというフィードバックをユーザーに伝える方が良いでしょう。

それ以外は、かなり良いと思います。私はそれが可能な文字の広い範囲をユーザーに提供し、彼は安全なパスワードを作成する以上のものを必要としないと思う。また、パスワードに許可されている文字を推測する必要がないようにユーザーに伝えることも有用です。