Безопасность ldap_bind

[Горбушка]

Всем привет...

Делаю интеграцию с AD. Естественно, решением является протокол и библиотека PHP - LDAP.

Интересует вопрос - насколько безопасно использовать ldap_bind? Т.е. как необходимо обрабатывать введённый логин и пароль? Или можно спокойно шманать как пришло от пользователя?

P.s. гуглил примеры - везде пихают как есть...

 

[nejtr0n]

Симфони рекомендует проверять на непустоту пароль.
Для просмотра ссылки Войди или Зарегистрируйся
Так же есть инфа в багтреке.
Для просмотра ссылки Войди или Зарегистрируйся

 

[metsys]

Т.е. как необходимо обрабатывать введённый логин и пароль?

Не совсем понятен контекст вопроса, что имеется под этим ввиду?
Лдап отвечает ложью или истиной на пару логин пасс.

 

[Горбушка]

@metsys, Меня интересуют спецсимволы...
К примеру если в MySQL передать в запрос типа SELECT строку '; DROP DATABASE ... ' - вот этот DROP выполнится как следующий запрос... Поэтому экранируются спецсимволы. Делает это mysql_real_escape_string().

В LDAP ничего подобного нет?

@nejtr0n, Проверка на пустые значения есть, спасибо!

 

[metsys]

Всё, ок, загрузил вконец. Как связан АД, пхп лдап, пхп бинд и аналог мускуля?!

Единственное что приходит на ум, это то что вы боитесь или планируете использовать аналог SQL инекции и поэтому вас волнует (?) проверка что в поле пароля? Если так, то лдап сверяет пару логин/пасс и всё. И чтобы там нибыло в поле пароля - он будет брать это значение для сверки со значением в базе собственно самого лдап.

ЗЫ
Или вопрос про это был? Для просмотра ссылки Войди или Зарегистрируйся

Для просмотра ссылки Войди или Зарегистрируйся

 

[Горбушка]

Спасибо! Интересовал вопрос именно безопасности передачи пары логин/пароль в AD по протоколу LDAP без экранирования чего либо, т.е. как ввёл пользователь.
Ответ получен - сверка идёт как есть, спецсимволы считаются частью строки...