个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
关闭。这个问题是opinion-based .它目前不接受答案。
想改进这个问题?更新问题,以便 editing this post 可以用事实和引用来回答它.
去年关闭。
Improve this question
最佳答案
好的,让我们假设您正确地完成了所有字符串编码任务。您没有任何 SQL 注入(inject)、HTML 注入(inject)或您不应该对某些东西进行 URL 编码的地方。所以我们不需要担心像 "<&%\这样的字符在某些情况下是魔法。而且你对所有东西都使用 UTF-8,所以所有的 Unicode 都在起作用。还有什么其他原因来限制用户名?
首先,所有控制字符,为了理智。没有理由在用户名中包含字符 U+0000 到 U+001F 或 U+007F 到 U+009F。
接下来,拒绝或规范化意外的空白。您可能希望在用户名中允许有空格,但您几乎可以肯定不希望允许前导空格、尾随空格或连续多个空格。它们可能在 HTML 中呈现相同的内容,但可能是会混淆的用户错误。
如果您打算允许该用户名用于通过 HTTP 基本身份验证登录,则必须禁止 :字符,因为如果用户名或密码中有冒号,Basic Auth 方案会编码一个“用户名:密码”对,并且不会转义。所以至少用户名和密码中的一个必须排除冒号,最好是用户名,因为限制人们选择密码比用户名更糟糕。
对于基本身份验证,您可能还希望禁用所有非 ASCII 字符,因为不同浏览器对它们的处理方式不同。 IE 使用系统代码页对它们进行编码; Firefox 使用 ISO-8859-1 对其进行编码; Opera 使用 UTF-8 对它们进行编码。如果 HTTP Auth 将可用,则至少应在选择非 ASCII 名称之前警告用户,因为实际使用它们将非常不可靠。
接下来考虑其他 Unicode 控制序列,例如 bidi那里列出的覆盖和其他字符不适合在标记中使用。可能您最终会将它们放入标记中,并且您不希望名称中带有 RLO 的人将您页面中的大量文本向后翻转。
此外,如果您允许 Unicode 对您获得的字符串进行规范化。否则,某人的用户名可能带有组合的 o-umlaut 字符 ö ,并想知道为什么他们无法在 Mac 上登录,默认情况下会使用单独的 o字符后跟组合变音符号。通常在网络上标准化为组合形式的 NFC。您可能还想使用 NFKC 形式进行兼容性分解;这将允许用户 Chris 从日文键盘以全角罗马字模式键入 chris 登录。这些是解决所有 webapp 输入的一般问题,但对于像用户名这样的标识符,正确处理可能更为关键。
最后,确保长度可以适合数据库,而无需更改名称的静默截断,尤其是当您存储为 UTF-8 字节时,您不想在字节序列中途被截断。用户名截断通常也是一个安全问题。
如果您使用用户名作为唯一的识别方式,您需要担心的问题更多:已经提到的类似问题,例如 Сhris (带有西里尔字母 С )。这些太多了,您无法合理处理;要么限制为 ASCII,要么有其他方法来识别用户。 (或者不关心,就像 SO 不关心一样;无论如何,当我可以轻松地称自己为 Chris 时,我无需称自己为 С -hrs。)
关于forms - 我应该对用户名施加什么限制,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1597743/
25
4
0
我有一个 ServiceBusQueue(SBQ),它获取大量消息负载。我有一个具有 accessRights(manage) 的 ServiceBusTrigger(SBT),它不断轮询来自 SBQ
在下面给出的结果集中,有 2 个唯一用户 (id),并且查询中可能会出现更多此类用户: 这是多连接查询: select id, name, col1Code, col2Code, col2Va
我正在用 Python 2.7.3 编写一个带有 GRequests 的小脚本和 lxml 可以让我从各种网站收集一些收藏卡价格并进行比较。问题是其中一个网站限制了请求的数量,如果我超过它,就会发回
我想知道何时实际使用删除级联或删除限制以及更新级联或更新限制。我对使用它们或在我的数据库中应用感到很困惑。 最佳答案 在外键约束上使用级联运算符是一个热门话题。 理论上,如果您知道删除父对象也将自动删
下面是我的输出,我只想显示那些重复的名字。每个名字都是飞行员,数字是飞行员驾驶的飞机类型。我想显示驾驶不止一架飞机的飞行员的姓名。我正在使用 sql*plus PIL_PILOTNAME
我正在评估不同的移动框架,我认为 nativescript 是一个不错的选择。但我不知道开发过程是否存在限制。例如,我对样式有限制(这并不重要),但我想知道将来我是否可以有限制并且不能使用某些 nat
我正在尝试使用 grails 数据绑定(bind)将一些表单参数映射到我的模型中,但我认为在映射嵌入式集合方面可能存在一些限制。 例如,如果我提交一些这样的参数,那么映射工作正常: //this wo
是否可以将 django 自过滤器起的时间限制为 7 天。如果日期超过 7 天,则不应用过滤器 最佳答案 timesince 的源代码位于 django/django/utils/timesince.
我想在我的网站上嵌入一个 PayPal 捐赠按钮。但问题是我住在伊朗——这个国家受到制裁,人们不使用国际银行账户或主要信用卡。 有什么想法吗?请帮忙! 问候 沮丧 最佳答案 您可以在伊朗境内使用为伊朗
这是我的查询 select PhoneNumber as _data,PhoneType as _type from contact_phonenumbers where ContactID = 3
这个问题在这里已经有了答案: What is the maximum number of parameters passed to $in query in MongoDB? (4 个答案) 关闭
我的一个项目的 AndroidManifest.xml 变得越来越大(> 1000 行),因为我必须对某些文件类型使用react并且涵盖所有情况变得越来越复杂。我想知道 list 大小是否有任何限制。
在使用 Sybase、Infomix、DB2 等其他数据库产品多年后使用 MySQL 5.1 Enterprise 时;我遇到了 MySQL 不会做的事情。例如,它只能为 SELECT 查询生成 EX
这个问题在这里已经有了答案: What is the maximum number of parameters passed to $in query in MongoDB? (4 个回答) 关闭5年
通常我们是在{$apache}/conf/httpd.conf中设置Apache的参数,然而我们并没有发现可以设置日志文件大小的配置指令,通过参考http://httpd.apache.org/do
我正在搜索最大的 Android SharedPreferences 键值对,但找不到任何好的答案。其次,我想问一下,如果我有一个键,它的字符串值限制是多少。多少字符可以放入其中。如果我需要频繁更改值
我目前正在试验 SoundCloud API,并注意到我对/tracks 资源的 GET 请求一次从不返回超过 200 个结果。关于这个的几个问题: 这个限制是故意的吗? 有没有办法增加这个限制? 如
我正在与一家名为 Dwolla 的金融技术公司合作,该公司提供了一个 API,用于将银行信息附加到用户并收取/发送 ACH 付款。 他们需要我将我的 TLS 最低版本升级到 1.2(禁用 TLS 1.
我在 PHP 中有一个多维数组,如下所示: $array = Array ( [0] => Array ( [bill] => 1 ) [1] => Array ( [
我在获取下一个查询的第一行时遇到了问题: Select mar.Title MarketTitle, ololo.NUMBER, ololo.Title from Markets mar JOIN(
我是一名优秀的程序员,十分优秀!