Hashed password a volte più lunga di 128 caratteri

Question

Ho uno strano problema relativo alla sicurezza, ultimamente mi sono stati errori regolari ma intermittenti durante il tentativo di inserire password hash in un campo di database di SQL Server che è nvarchar (130):

<cfqueryparam value="#hashpass#" cfsqltype="cf_sql_char" maxLength="130"> 

la variabile HashPass è impostata così:

<cfset hashpass = Hash(arguments.password & getsalt.user_salt, "SHA-512")> 

chiedi come sia possibile per un hash SHA-512 per essere più lungo di 128 caratteri, quando la documentazione dice che dovrebbe essere sempre 128 esattamente? Ecco l'errore di ColdFusion 10:

[Macromedia] [Driver JDBC SQLServer] [SQLServer] I dati stringa o binari sarebbero troncati.

Answer 1

Sembra dal tuo errore che il problema sia a livello di database, dato che ColdFusion non sta fallendo il tuo controllo maxlength sul tag cfqueryparam e sta permettendo che la query sia eseguita. Ho appena provato cercando di far passare una stringa che supera la lunghezza specificata nell'attributo maxlength (su CF10) e ottenere l'errore:

The cause of this output exception was that: 
coldfusion.tagext.sql.QueryParamTag$InvalidDataException: 
Invalid data value this-is-a-string-that-is-too-long exceeds maxlength setting 10..` 

Come Adam Cameron accennato nei commenti alla domanda, sembra probabile che si tratta di un campo diverso nella query che sta generando l'errore.

Poiché la password con hash sarà lunga 128 caratteri, c'è un motivo per cui si stanno convalidando 130 caratteri?