用户名和密码使用的字段类型_如果在“用户名”字段中提交密码,对安全有何影响?...

最新推荐文章于 2021-07-28 23:53:51 发布
最新推荐文章于 2021-07-28 23:53:51 发布
阅读量1k 收藏
点赞数
文章标签: 数据库 java python mysql 安全
原文链接:https://www.howtogeek.com/182950/what-are-the-security-implications-if-a-password-is-submitted-in-the-username-field/
版权
用户名和密码使用的字段类型

用户名和密码使用的字段类型

security-implications-if-a-password-is-submitted-in-the-username-field-00

Suppose you are having a bad day and in a hurry to login to a favorite website, then accidentally submit your password in the username text box instead. Should you be worried and change your password for that website, or is it just groundless fear?

假设您的日子不好过,急着要登录到喜欢的网站,然后在用户名文本框中意外地输入了密码。 您是否应该担心并更改该网站的密码,还是仅仅是出于毫无根据的恐惧?

Today’s Question & Answer session comes to us courtesy of SuperUser—a subdivision of Stack Exchange, a community-driven grouping of Q&A web sites.

今天的“问答”环节由SuperUser提供,它是Stack Exchange的一个分支,该社区是由社区驱动的Q&A网站分组。

问题 (The Question)

SuperUser reader agentnega wants to know what the dangers of typing one’s password into the username text box and accidentally submitting it could be:

超级用户阅读器agentnega想知道在用户名文本框中输入密码并意外提交的危险是:

Let’s say I typed my password into the username text box of a frequently-visited website (https of course) and hit enter before I noticed what I was doing.

假设我在经常访问的网站( 当然是https )的用户名文本框中输入密码然后按回车,直到我注意到自己在做什么。

Is my password now sitting in plain text in a log file somewhere? How could my mistake be exploited by a crafty miscreant? Help me understand the actual security implications regardless of the likelihood of it actually happening.

我的密码现在是否以纯文本格式保存在日志文件中的某个位置? 狡猾的罪犯如何利用我的错误? 帮助我了解实际的安全隐患,无论它实际发生的可能性如何。

Would this actually be something to be worried about, or could you look at this as a simple mistake and forget about it?

这实际上是值得担心的事情,还是您可以将其视为简单的错误而忘记呢?

答案 (The Answer)

SuperUser contributors Nikolay and GregD have the answer for us. First up, Nikolay:

超级用户贡献者Nikolay和GregD为我们找到了答案。 首先,尼古拉:

It depends on the configuration of the authentication system for the website. If it was setup to log any attempts, then yes, it is now in the log (text file or database) in plain text. It could look like this:

这取决于网站的身份验证系统的配置。 如果已设置为记录任何尝试,则可以,它现在以纯文本格式保存在日志( 文本文件或数据库 )中。 它可能看起来像这样:

12-Feb-2014 12:00:00 AM: Unsuccessful login attempt user (YOUR_PASSSORD_HERE) from (YOUR_IP_HERE);

2014年2月12日12:00:00:来自(YOUR_IP_HERE)的登录尝试用户(YOUR_PASSSORD_HERE)失败;

or similar.

或类似。

It is still true that a password will not be accessible for regular users, only for those who have access to log files.

仍然确实如此,普通用户将无法访问密码,只有有权访问日志文件的用户才能访问该密码。

What consequences does it imply?

这意味着什么后果?

  • If the server was ever compromised, then theoretically, the hacker would have your plain text password.

    如果服务器曾遭到破坏,那么从理论上讲,黑客将获得您的纯文本密码。
  • The website’s administrator could routinely go through the log files and accidentally find your password. He can then find the IP address this record came from, and thus he can theoretically find out what your username and e-mail are (because he has access to the database).

    网站的管理员可能会例行浏览日志文件并意外找到您的密码。 然后,他可以找到该记录的IP地址,因此从理论上讲,他可以找到您的用户名和电子邮件(因为他可以访问数据库)。

So, if you use the same e-mail/username/password on other websites, then change it immediately. Because there is always a chance that your password will be found out. Logs can remain on servers for years.

因此,如果您在其他网站上使用相同的电子邮件/用户名/密码,请立即进行更改。 因为总有可能会找到您的密码。 日志可以在服务器上保留多年。

Followed by the answer from GregD:

随后是GregD的答案:

Just as you said, web applications tend to keep logs of unsuccessful login attempts. If someone were to look through the logs, he could connect this particular login attempt with one of your successful attempts (i.e. via IP address).

就像您说的那样,Web应用程序倾向于保留登录尝试失败的日志。 如果有人要查看日志,则可以将该特定的登录尝试与您的成功尝试之一(例如, 通过IP地址 )联系起来。

Though I do not think this is likely to happen, you can always change it be sure.

尽管我认为这不太可能发生,但是您可以随时更改它。

With the constant barrage of data breaches we read and hear about these days, it would be better to change the password for the website in question (and any others with the same password) for peace of mind. It is better to be safe than sorry when it comes to the security of your online accounts!

鉴于我们近来不断听到和听到的数据泄露大抵,最好还是更改相关网站的密码( 以及任何其他使用相同密码的密码 ),以使您省心。 关于在线帐户的安全性,总比后悔好!

Have something to add to the explanation? Sound off in the comments. Want to read more answers from other tech-savvy Stack Exchange users? Check out the full discussion thread here.

有什么补充说明吗? 在评论中听起来不错。 是否想从其他精通Stack Exchange的用户那里获得更多答案? 在此处查看完整的讨论线程

翻译自: https://www.howtogeek.com/182950/what-are-the-security-implications-if-a-password-is-submitted-in-the-username-field/

用户名和密码使用的字段类型

culunyi0802
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
用户名字段 mysql_我应该在MySQL用户名字段命名为“ name”还是“ user_name”?...
weixin_31541755的博客
02-06 1393
不要在表名前加上用户名之类的字段名。而是使用用户或用户名。如果为表名加上前缀,则可能会有歧义,因此请避免为表名加上前缀。让我们首先创建一个表-mysql>createtableuser->(->usernamevarchar(20),->passwordvarchar(20)->);使用插入命令在表插入一些记录-mysql>inserti...
mysql5.7 密码字段名更改
dingbianping4275的博客
03-10 349
由password更改为authentication_string update user set authentication_string=password("123456") where user="root"; 转载于:https://www.cnblogs.com/seer/p/5262541.html
通过用户名字段查询记录字段判断是否登录
Vincent_xy的博客
06-15 1390
这篇文章其实是上一篇的续,所以就不罗嗦了,直接上正题。还是在UserBeanBO.java 在BO加一个方法public boolean adminUser(String u,int g){ boolean b=false; try { //sql注入漏洞 Connection ct = ConnDB.getCon
密码字段安全性研究和MD5算法
JustDoMyself
05-12 110
一、密码存储数据库安全问题      在实际应用,一般不会直接在数据库以明文的方式来保存用户的密码,因为这样很容易造成密码的泄露。所以需要将密码进行加密后以密文的方式进行保存,另外一种更有效的办法是只保存密码的MD5摘要,因为相同的两个字符串MD5值也相同,在登录时就可以根据密码的MD5摘要和数据库存放的MD5值摘要进行比较来确定用户输入的密码是否正确。同时,由于获取到了MD5摘要后不能...
mysql密码命名规则_MySql命名规范
weixin_34805308的博客
01-19 955
数据库环境dev:开发环境,开发可读写,可修改表结构。开发人员可以修改表结构,可以随意修改其的数据但是需要保证不影响其他开发同事。qa:测试环境,开发可读写,开发人员可以通过工具修改表结构。sim:模拟环境,开发可读写,发起上线请求时,会先在这个环境上进行预执行,这个环境也可供部署上线演练或压力测试使用。real:生产数据库从库(准实时同步),只读环境,不允许修改数据,不允许修改表结构,供线上问...
安全问题-密码输入表单允许记录密码
大河向东流的博客
10-24 690
漏洞问题检测(上图): 解决办法: 阿里云推荐的技术参考网址 https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion 参考了一下,是因为input或form标签需要给属性,不然浏览器会直接默认记住密码,被不法分子滥用。 主要是三个,给aut...
rtsp 用户名密码的拼接格式
你好帅(上局上段)
04-20 1298
rtsp://<用户名>:<密码>@IP:端口
SQL获取所有用户名,数据库名、所有表名、所有字段名及字段类型
weixin_30528371的博客
07-29 771
1.获取所有用户名: SELECT name FROM Sysusers where status='2' and islogin='1' islogin='1'表示帐户 islogin='0'表示角色 status='2'表示用户帐户 status='0'表示糸统帐户 2.获取所有数据库名: ...
mysql time类型解析_MySQL字段类型最全解析
weixin_34177635的博客
02-17 913
前言:要了解一个数据库,我们必须了解其支持的数据类型MySQL 支持大量的字段类型,其常用的也有很多。前面文章我们也讲过 int 及 varchar 类型的用法,但一直没有全面讲过字段类型,本篇文章我们将把字段类型一网打尽,讲一讲常用字段类型的用法。常用的字段类型大致可以分为数值类型、字符串类型、日期时间类型三大类,下面我们按照分类依次来介绍下。1.数值类型数值类型大类又可以分为整型、浮点型、...
几种基本数据类型选择
username_lx的博客
10-05 2386
浮点数与定点数 1.浮点数:在mysql一般用float,double(或real)来表示浮点数。如果插入数据的精度超过该列定义的实际精度,则插入值会被四舍五入到实际定义的精度值,然后插入,四舍五入的过程不会报错(精度不够准)。 定点数:定点数实际上是以字符串形式存放的,所以精度更高,能更准确的保存数据。 浮点数会出一些问题,单精度和双精度也是有差异的。 涉及到金融,必须用定
git clone时直接提交用户名密码
coding
09-09 3万+
前几分钟还在发帖问别人,突然就找到了办法~这里记录下。 带用户名密码clone的方式: git clone https://username:password@remote 一般情况下这个够用了,但不幸的是我的username是个邮箱,里面包涵了@这个特殊字符,于是我们需要进行编码操作: 只需要吧username里面的@用%40替换就可以了
最全 SQL 字段类型(4种)、属性(6种)总结
热门推荐
YuLong的博客
07-28 4万+
文章目录字段类型1、字段类型作用2、整数类型3、显示宽度4、小数类型(浮点型)5、小数类型(定点型)6、字符串类型(定长型)7、字符串类型(变长型)8、字符串类型(文本字符串)9、字符串类型(枚举)10、字符串类型(集合)11、时间日期类型(年)12、时间日期类型(时间戳)13、时间日期类型(日期)14、时间日期类型(日期时间)15、时间日期类型(时间)16、总结二、属性1、属性作用2、NULL属性3、Default属性4、主键5、主键管理6、自增长属性7、自增长管理8、唯一键9、唯一键管理10、comme
Javaweb根据用户名密码完成注册功能,判断输入的用户名数据库是否存在,不存在则继续执行...
最新发布
06-11
要实现这个功能,需要进行以下步骤: 1. 建立数据库表,包括用户名密码两个字段。 2. 在注册页面,获取用户输入的用户名密码。 3. 在注册页面,对用户输入的信息进行合法性校验,例如判断用户名密码是否为空,是否符合规定的格式等。 4. 在注册页面,连接数据库,查询用户名是否已经存在。 5. 如果用户名不存在,将用户名密码插入到数据库。 下面是一个简单的 JavaWeb 注册代码示例: ```java package com.example; import java.io.IOException; import java.io.PrintWriter; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class RegisterServlet extends HttpServlet { private static final long serialVersionUID = 1L; protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); String password = request.getParameter("password"); response.setContentType("text/html;charset=UTF-8"); PrintWriter out = response.getWriter(); Connection conn = null; PreparedStatement pstmt = null; ResultSet rs = null; try { // 加载数据库驱动 Class.forName("com.mysql.jdbc.Driver"); // 获取数据库连接 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "password"); // 查询用户名是否已经存在 pstmt = conn.prepareStatement("SELECT * FROM user WHERE username=?"); pstmt.setString(1, username); rs = pstmt.executeQuery(); if (rs.next()) { out.println("用户名已经存在,请重新输入!"); } else { // 将新用户插入到数据库 pstmt = conn.prepareStatement("INSERT INTO user (username, password) VALUES (?, ?)"); pstmt.setString(1, username); pstmt.setString(2, password); pstmt.executeUpdate(); out.println("注册成功!"); } } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); } finally { // 关闭数据库连接 try { if (rs != null) { rs.close(); } if (pstmt != null) { pstmt.close(); } if (conn != null) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } } } ``` 在这个代码,我们首先获取用户输入的用户名密码,然后连接数据库,查询用户名是否已经存在,如果不存在,则将新用户插入到数据库。在最后,我们关闭数据库连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值