Sul mio sito ho la possibilità per l'utente di scegliere il suo nome utente lungo da 4 a 20 caratteri.
Ma alcuni utenti potrebbero avere nomi come "Amy" "Eva", "Ian" ecc.
Devo rimanere con 4 lettere o andare a 3 lettere?
Ci sono degli svantaggi dal punto di vista della sicurezza?
Sto usando trim e xss filt. su ogni input dell'utente e le parole come admin ecc. sono limitate nel mio metodo di callback.
È sicuro andare a 3 da 4 lettere?
Non c'è alcuna differenza dal punto di vista della sicurezza: la forza dell'autenticazione dovrebbe provenire dalla password, non dal nome utente.
Tuttavia, non metterei un minimo di 3 caratteri su un nome utente. Nella sola Cina, ci sono oltre 700.000 persone con il nome dato Na o Li, e ci sono molti altri nomi di un solo carattere e due caratteri. Aggiungilo al fatto che i nomi non hanno nemmeno bisogno di essere fatti con lettere ASCII , e ti stai imbattendo in problemi. Certo, puoi probabilmente applicare ASCII per i tuoi scopi, dal momento che la maggior parte dei nomi composti da caratteri non romani può essere rappresentata in qualche modo con l'alfabeto A-Z standard.
Ti consiglio vivamente di leggere I programmatori di falsi credono sui nomi e assorbire i fatti pazzi al suo interno. Puoi tranquillamente ignorare alcuni dei problemi più esoterici (ad es. I nomi Klingon), ma ricorda che ci sono persone i cui nomi non si adattano a nessun modello standard che puoi inventare.
Leggi altre domande sui tag authentication