Безопасность ldap_bind

Горбушка

Ищу её...
Регистрация
2 Май 2008
Сообщения
3.444
Реакции
2.524
Всем привет...

Делаю интеграцию с AD. Естественно, решением является протокол и библиотека PHP - LDAP.

Интересует вопрос - насколько безопасно использовать ldap_bind? Т.е. как необходимо обрабатывать введённый логин и пароль? Или можно спокойно шманать как пришло от пользователя?

P.s. гуглил примеры - везде пихают как есть...
 
Т.е. как необходимо обрабатывать введённый логин и пароль?
Не совсем понятен контекст вопроса, что имеется под этим ввиду?
Лдап отвечает ложью или истиной на пару логин пасс.
 
@metsys, Меня интересуют спецсимволы...
К примеру если в MySQL передать в запрос типа SELECT строку '; DROP DATABASE ... ' - вот этот DROP выполнится как следующий запрос... Поэтому экранируются спецсимволы. Делает это mysql_real_escape_string().

В LDAP ничего подобного нет?

@nejtr0n, Проверка на пустые значения есть, спасибо!
 
Всё, ок, загрузил вконец. Как связан АД, пхп лдап, пхп бинд и аналог мускуля?!

Единственное что приходит на ум, это то что вы боитесь или планируете использовать аналог SQL инекции и поэтому вас волнует (?) проверка что в поле пароля? Если так, то лдап сверяет пару логин/пасс и всё. И чтобы там нибыло в поле пароля - он будет брать это значение для сверки со значением в базе собственно самого лдап.

ЗЫ
Или вопрос про это был? Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра ссылки Войди или Зарегистрируйся
 
Последнее редактирование:
Спасибо! Интересовал вопрос именно безопасности передачи пары логин/пароль в AD по протоколу LDAP без экранирования чего либо, т.е. как ввёл пользователь.
Ответ получен - сверка идёт как есть, спецсимволы считаются частью строки...
 
Назад
Сверху