第一次见到 12306 这样的密码要求.

sql 注入倒是一个可能，但这么大的网站设计之初如果不防范这个很难理解啊。

@KasuganoSoras #12
惊了，从来没坐过？

@Osk #2
@KINGSHINE #13
@citydog #19
如果仅限这三种组合，有可能吧(毛骨悚然)，密码输入框只接受 _ 字母 数字 ，可以用最粗暴的办法杜绝 SQL 注入？义啥的都得用到各种符号，一刀杜绝

@dtsover #21 咱们的套路不就是，可以一刀切的，为啥要搞那么多花样，还得花钱

昨天去注册提交时候提示没填写国家地区，但页面根本没这个选择的，审查元素发现是设置了 displaynone，去掉后选择才能正常注册，莫名其妙。

@sunwei0325 抓个包看看都知道不是明文存的吧

你的至少还有提示，不知道你见过这样奇葩的没：
（我一般密码中喜欢带一个特殊字符，这是前提）
有的网站，在登录的 pwd 框中，不允许你输入特殊字符，是不允许。即，他把你输入的特殊字符直接 ignore，且不告诉你，不告诉你 （因为 pwd 狂都是*，你也很难觉察）。但是 mmp 的，在更改密码的时候，那个输入框却又允许你输入特殊字符！
然后我某次改了密码之后，就他喵的死活登录不上去了！！！

防止你们用密码生成器吗 2333

@opengps 就算输入注入的代码也无所谓，反正最后要进行加密算法的，入库和对比都是加密后的数据....

简单想一想，会不会只是单纯地是产品经理这样要求而已

什么时候的事，我昨晚手机端改密码没有这个提示

@opengps 我第一反应也是防 sql 注入，不过想想应该不是这个原因，防 sql 有其他方法，不至于用限制密码这个手段

@Osk
@masker
@yzkcy
@KINGSHINE
@citydog
@jasonsui

我猜一楼的想法就是：12306 为了防止 sql 注入，但是之前有大量代码拼接 sql 语句的情况下。如果密码 hash 后进入 sql 语句，是不需要对密码做这种规定的。那么 12306 既然这么做，就很有可能是因为密码是明文拼接进 sql 语句。

都 9201 念了，12306 没那么 low，明文存密码。

昨天看又有密码泄漏, 晚上想改密码也遇到这个问题了, 不能用特殊字符, 维护时间也改不了, 醉了

1 楼是神人....

这都能看到是明文存储的?

哈哈哈... 怕不是一次登录注册都没写过吧....

App 修改密码就是不能有特殊字符

12306 的密码表现行为不是为了安全原因，而是基于大众普遍的记忆偏好，尤其是父母年龄段的用户群体，对密码的记忆时长出现错乱的情况，特殊符号很难记忆并且很多人无法打出来。

@linpf

我觉得解释太牵强。防止 SQL 注入有很多种方式，完全没必要这样。

而 12306 的密码是绝对绝对绝对绝对绝对绝对不可能明文存储的，否则他每年的等保都过不了。12306 的等保要求应该是四级或以上。

我觉得应该是有别的什么原因，以前注册别的网站，也有过用户名及密码只能是数字、字母和下划线的组合。

@KasuganoSoras 惊了！这么有软妹币的嘛小老弟