百度的密码中不能包含'['和']', 为什么?

有可能使用正则表达式……

还对密码长度设限，Baidu弱爆了

京东的密码就更变态了，只能字母数字和“- ”，不包括引号。

防注入。。XD

@XDash @lenmore 一般密码都要加密，最不济也要hash，还注入个P啊

京东那个估计是明文存密码，只有明文存，才会对密码长度、特殊字符设限制

@9hills 真的吗？我很害怕！！

因为是明文保存密码。所有对特殊字符做限制的基本上都是，因为如果你要用hash保存密码的话，管你密码是中文还是鸟语还是特别符号呢，什么防止注入都是借口，这年头谁还拼接SQL =_=

我觉得只要限制密码长度不超过2048位就是合理的
要不然每个人都提交个1M多大小的密码上去，他们不得疯了..

至于不让特殊符号，说是防注入之类的，一般就是要明文存密码了。

@9hills @vibbow 现在密码限制很多是不到30的，也不一定是因为保存明码。
不让输入特殊符号可能是历史原因，因为以前是保存明码做出了限制，后面增加了安全性用了hash，但是前段的JS是另外一组人写的，所以也就一般不会改，除非平台全面升级。
另外一种原因可能是因为JS处理的问题，js处理有时候不允许出现特殊字符，然后开发又懒得去转换，干脆就做成限制。
如果在js端做一次hash，就算提交10M的密码都没关系。