Discussion :

[ramzi87]

Bonjour,
Pour changer mot de passe je veux que l'ancien password à taper sera le même que celui dans la table qui est crypté
vérification avec contrôle de saisie avec JS ça marche ou pas?

On crypte le champ saisi et on le compare avec celui de la base qui est aussi en champ passV hidden

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<div class="form-group">
                    <div class="col-xs-12 col-md-4 col-md-offset-4">
 
                    <input type="hidden" id="passV" name="passV" value="<?php echo $results['password'];?>" />
 
                </div>
                </div>

Ce champ caché contient le mot de passe crypté 'passV' est ce qu'on peut crypter le champ à saisir afin de le tester ça sera mieux de décrypter le passV

Un bout de code dans le main.JS

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
  pass: {
                validators: {
                    notEmpty: {
                        message: 'Required'
                    },
                    identical: {
                        field: 'passV',
'  message: Ancien mot de passe incorrect'
                    }
                }
            },

J'ai fais un test dans l'update mais à cause de main.JS le test n'est pas bon : include ne fonctionne pas mais pas d'update si pass invalide

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$pass = sha1(md5($_POST['pass']));
 
	if ($pass == $_POST['passV']))
 
	{..... update (...)}
	else
		{
			include ('changepassword.php');
			echo 'Ancien mot de passe incorrect';
		}

[Invité]

Bonjour,

on ne transmet jamais un mot de passe (crypté ou pas) dans un formulaire...

1/ Vérification PHP : Il faut faire comme pour une inscription : une requête en BdD lors du traitement PHP(réception du mot de passe tapé, requête, comparaison avec celui en BdD).

2/ Vérification JS : (dans main.js ?) il faut faire un appel AJAX vers un fichier PHP qui fera cette requête.

[ramzi87]

Bonsoir,
c'est vrai afin d'avoir une meilleure sécurité des données.

Pour ajax est-elle facile d'utiliser une fonction pour faire cela?

[Invité]

AJAX :

• une fonction JS récupère la valeur tapée pour le mot de passe...
• ... qui est transmis via AJAX à un fichier PHP...
• ... dans lequel une requête permet de vérifier si ce mdp (une fois hashé) et dans la BdD...
• ... puis renvoie true ou false à la fonction JS...
• ... qui affiche un message d'erreur si false

[Tsilefy]

Et pour compléter ce qui a été dit,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pass = sha1(md5($_POST['pass']))

Non. C'est dangereux. Le seul bon moyen pour chiffer un mot de passe, c'est d'utiliser password_hash. sha1 et md5 sont des algorithmes de hash rapide, et donc inappropriés pour les mots de passe. Même en ajoutant un salt, ce n'est pas suffisant.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pass == $_POST['passV']

Non. C'est dangereux. On ne doit pas utiliser l'opérateur égal (==) pour comparer des mots de passe. Ça ouvre la porte à du timing attack qui permet de "deviner" les mots de passe. Le seul bon moyen pour vérifier un mot de passe c'est password_verify.

Pour le reste, voir ce que Jreaux62 a écrit.

[ramzi87]

Bonjour,
même si je tape le mot de passe correcte, il me dis mot de passe erroné

code JS pour le field pass

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
pass: {
				threshold: 8, //le nombre de caracteres saisie a partir du quel on lance la verification
                validators: {
                    notEmpty: {
                        message: 'Required'
                    },
                    stringLength: {
                        min: 8,
                        max: 20,
                        message: '8 to 20  characters'
                    },
					remote: {
						message: 'Mot de passe erroné', //Le message d'erreur en cas de pass erroné
						url: 'password.php',  // la page qui fait des verification du mot de passe
						data: {
						type: 'pass' //Le champs concerné
					},
						type: 'POST' //Envoi par methode post
					}	
                }
 
            },

page password.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
session_start();
	if ($_POST) {
 
		include 'db.inc.php';
 
		$pass = sha1(md5($_POST['pass']));
 
	  $req="select password from inscription where email = '{$_SESSION['email']}'";
	  $conn = $connexion->prepare($req);
	  $conn->execute();
 
	  $results	=	$conn->fetch();
 
	  $estValide = (($pass == $results['password'])?true:false);
		json_encode(array('valid' => $estValid));
		exit;
	}
 
else {
	header('Location: changepassword.php');
}
?>

[sabotage]

Ton deuxième ne produit rien, il ne manquerait pas un echo ?
De plus revoit les requêtes préparées.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
session_start();
if (isset($_POST['pass'])) {
	include 'db.inc.php';
 	$pass = sha1(md5($_POST['pass']));
 	$conn = $connexion->prepare("SELECT password FROM inscription WHERE email = :email");
 	$conn->execute(array(':email'=>$_SESSION['email']));
  	$results = $conn->fetch();
 	$estValide = ($pass == $results['password']);
 	echo json_encode(array('valid' => $estValid));
}
else {
	header('Location: changepassword.php');
}
?>

[ramzi87]

Bonsoir,
ça fonctionne nickel merci beaucoup mon cher modérateur.