ハッシュ全般についての私の理解から、1つの変更された文字は、どこでもハッシュ全体を別の球場に投げ込むことができます...そしてそれは私に考えさせられました... PHPassに与えられたパスワードをサニタイズすることは良い考えですか?将来のPHPバージョンで、サニタイズ関数でエスケープされるものを変更することを決定し、誰かのパスワードに新しくエスケープされた文字の1つが含まれている場合、ハッシュが破棄され、元に戻せなくなります(リセットがない場合)。
潜在的なセキュリティリスクが、いくつかのパスワードリセットの不便さを上回っていることを認識していますが、この点についてはまだ興味があります。これは正当な懸念ですか?
パスワード、またはそのことに関するほとんどのデータをサニタイズする必要がある理由がわかりません。安全でない使用を安全にするために、データをサニタイズする必要があります(ユーザー指定のファイルからの読み取りなど)。それ以外は、印刷時にhtmlentities($ data)で処理するか、MySQLクエリで使用する場合はmysql_real_escape_string($ data)で処理する必要があります。表示されない、または安全でない方法で使用されることのないデータをサニタイズする必要はありません(つまり、データを安全にするためにサニタイズする必要があります)...エスケープする必要があります。
したがって、サニタイズしないでください。印刷やクエリの場合など、必要に応じてエスケープしてください。