百度的密码中不能包含'['和']', 为什么?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 4506 天前的主题，其中的信息可能已经有所发展或是发生改变。

今天在为百度账号设置密码发现密码中不能包含字符'['和']', 否则会出现一个莫名其妙的错误"密码应由6至14个字符组成". 用其它符号测试了一下, (){},.什么的都是可以的, '['和']'有什么特殊之处吗?

密码

百度

包含

9 条回复 • 1970-01-01 08:00:00 +08:00

args

2011-12-31 21:02:34 +08:00

有可能使用正则表达式……

9hills

2011-12-31 21:32:26 +08:00

还对密码长度设限，Baidu弱爆了

lenmore

2011-12-31 22:02:12 +08:00

京东的密码就更变态了，只能字母数字和“- ”，不包括引号。

XDash

2011-12-31 22:04:02 +08:00

防注入。。XD

9hills

2011-12-31 22:18:32 +08:00

@XDash @lenmore 一般密码都要加密，最不济也要hash，还注入个P啊

京东那个估计是明文存密码，只有明文存，才会对密码长度、特殊字符设限制

cyberscorpio

2011-12-31 22:35:31 +08:00

@9hills 真的吗？我很害怕！！

GordianZ

MOD

2012-01-01 02:00:44 +08:00

因为是明文保存密码。所有对特殊字符做限制的基本上都是，因为如果你要用hash保存密码的话，管你密码是中文还是鸟语还是特别符号呢，什么防止注入都是借口，这年头谁还拼接SQL =_=

vibbow

2012-01-01 07:18:48 +08:00

我觉得只要限制密码长度不超过2048位就是合理的
要不然每个人都提交个1M多大小的密码上去，他们不得疯了..

至于不让特殊符号，说是防注入之类的，一般就是要明文存密码了。

yyfearth

2012-01-01 09:25:28 +08:00

@9hills @vibbow 现在密码限制很多是不到30的，也不一定是因为保存明码。
不让输入特殊符号可能是历史原因，因为以前是保存明码做出了限制，后面增加了安全性用了hash，但是前段的JS是另外一组人写的，所以也就一般不会改，除非平台全面升级。
另外一种原因可能是因为JS处理的问题，js处理有时候不允许出现特殊字符，然后开发又懒得去转换，干脆就做成限制。
如果在js端做一次hash，就算提交10M的密码都没关系。