Система юзеров - вопросы по организации и безопасности

[Сенсей]

Система юзеров - вопросы по организации и безопасности

Делаю систему юзеров.... ну регистрация там... авторизация....
С этим проблем нет...

Но есть сомнения насчет ЛОГИНОВ которые придумывают юзеры...

Часто видел как на некоторых сайта вроме как букв ничего использовать не разрешают....

Пример: Vasya

У других можно например кроме букв там символы еще ипользовать ...

Пример: -= Vasya =-

Третим вообще все пофиг:
Пример : -= <Vasya@Pamper's> =-

Так вот ... по какому пути идти?

юзеру ничего не говорить .. а просто написать функцию которая бы автоматом очищала ник и сотавляла от него лишь буквы?

Или же все таки запретить кое какие символы?

Чего нужно бояться в НИКе юзера?

Мое мнение: разрешить любые символы... но что бы там умники не натворили делов - там где вывожу этот НИК просто обрабатывать через htmlspecialchars

Либо же простенько strip_tags + htmlspecialchars при выводе...

Направьте на истинный путь...

 

[Erise]

ИМХО, допустить можно цифры, буквы латинского и/или русского алфавита, восклицательный знак, пробел и нижнее подчёркивание. Остально, имхо, пользователю в логине ни к чему.
Проверять через preg_match()

 

[Cougar]

Я разрешаю всё, кроме диапазона от 0x00 до 0x1F включительно. При выводе, разумеется, htmlspecialchars().
Это больше вопрос сетевого этикета, чем программирования.

 

[SiMM]

Автор оригинала: Cougar
Я разрешаю всё, кроме диапазона от 0x00 до 0x31 включительно.

Интересно, а символы '0' и '1' тебе чем не угодили? Да и всякие '$', пробел, etc?

 

[kolemming]

ИМХО.
Еще бы не помешала система при которой все русские буквы, которые пишутся аналогично латинским конвертировались бы в латинские, что бы избежать задвоение логинов, от особо умных юзеров. Но это уже зависит от целей сайта, например для чатов и форумов мне кажется это актуально.

 

[Erise]

kolemming, проще допустить символы только одного алфавита. Либо логин весь из латиницы, либо из кириллицы.
К твоему имхо.

 

[Cougar]

SiMM
Опс. Да, ошибся. Написал десятичные значения вместо шестнадцатиричных. Уже исправил.

 

[SiMM]

Cougar, опять ошибся 0x1F

 

[fog]

Сенсей, "очищать" логин от неугодных тебе символов при регистрации нельзя, это неуважение к пользователю: он себе логин выбрал, а ты без его ведома изменил его.

Либо проверяй логин на допустимые символы, либо допускай все символы, но следи чтобы спец. символы в логине правильно обрабатывались.

Но в любом случае сначала сообщай пользователю правила, и если он ввёл недопустимый логин - предложи исправить.

 

[Cougar]

SiMM
Да, бывает Опять исправил
fog
Некоторые символы имеет смысл резать без предупреждения:
1. такие, как \r, \n, \t...
2. несколько пробелов подряд тоже имеет смысл сократить до одного пробела
3. Ну, и, разумеется, trim() тоже стоит пользовать, не уведомляя об этом пользователя

 

[dnes]

Если п.3, то п.1, наверное, как бы излишество?

 

[Cougar]

dnes
нет. Они пересекаются, конечно, но не полностью. trim() не уберёт лишние символы в середине строки.

 

[dnes]

лишние символы в середине строки - п.2

 

[Сенсей]

Вот и первая трабла ....

Захотелось девочке такой ник: +*+Bab04kA+*+

Сказано - сделано...

Но не пашет ... в GET запросе :

&username=+*+Bab04kA+*+&check_num=blablabla

В базу запрос приходит такой :

user_nick_name=' * Bab04kA * '

То есть без плюсиков ...
Решение только запрещение плюса в логинах? А если очень хочется такой ник?

 

[SiMM]

GET-запрос неправильный.
[m]urlencode[/m]
[m]rawurlencode[/m]

 

[Erise]

urlencode ()

 

[4m@t!c]

Да не может быть такого, что ты говоришь, символы будут преобразованы. А если сделаешь вывод элемента массива GET, то получишь все знаки, что вводил...

 

[Сенсей]

4m@t!c
А те говорю что может

test.php

<?php
echo $_GET['a'];

print_r($_GET);
?>

/test.php?a=+*+Bab04kA+*+

В итоге:

* Bab04kA * Array ( [a] => * Bab04kA * )

SIMM, ERIS

<?php
echo urlencode($_GET['a']);
?>

Получаю :

+%2A+Bab04kA+%2A+

 

[_RVK_]

Имхо спецсимволы нужно запрещать для повышения читабельности и запоминаемости ников. Если юзеры начнут использовать ники типа $%^&* а второй $%<&*, то отличить их будет крайне сложно, не говоря уже о том, что запомнить или произнести ник в слух. Об этом тоже нужно задумываться. Лучший выход, опять же ИМХО, это разрешать некоторые спецсимволы(@[]|!-_ и т.д.), и контролировать что бы их в нике не было больше чем букв.

 

[ForJest]

Сенсей
Как мне кажется ограничение на буквы/цифры/подчёркивание имеет свой смысл, когда юзеру заводится под этот login допустим почтовый ящик или выделяется хостинг или ещё что - это ограничение наложено обычно операционной системой.
Так что всё в основном зависит от использования этой информации о пользователе в дальнейшем. Исходя из того, где и как она будет использована и стоит ограничивать/не ограничивать набор символов.