IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

hashage de mot de passe [MySQL]


Sujet :

PHP & Base de données

  1. #1
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2016
    Messages : 135
    Points : 45
    Points
    45
    Par défaut hashage de mot de passe
    Salut à tous^^

    J'ouvre un autre petit topique car la, ça fait 2jours que je pêche sur un truc qui pour beaucoup serait un truc tout bête ><
    Dans mon site, il y a une faille de sécurité, les mot de passe ne sont pas hashé dans la BDD, alors pour résoudre le souci, je suis allé voir des tuto m'indiquant comment faire. Mais lorsque je hashe mes mot de passe, ils le sont bien dans la BDD dans le charabia voulu, mais par contre, je ne peux pas me connecter avec, le site ne reconnait pas le mot de passe.
    Comment faire svp car c'est vraiment embêtant la pour le coup, je ne peux pas passer outre cette sécurité :-/.
    je vous transmet mon register.php et mon login.php.

    Merci d'avance de votre aide^^
    Cordialement
    Vazer7070

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    60
    61
    62
    63
    64
    65
    66
    67
    68
    69
    70
    71
    72
    73
    74
    75
    76
    77
    78
    79
    80
    81
    82
    83
    84
    85
    86
    87
    88
    89
    90
    91
    92
    93
    94
    95
    96
    97
    98
    99
    100
    101
    102
    103
    104
    105
    106
    107
    108
    109
    110
    111
    112
    113
    114
    115
    116
    117
    118
    119
    120
    121
    122
    123
    124
    125
    126
    127
    128
    129
    130
    131
    132
    133
    134
    135
    136
    137
    138
    139
    140
    141
    142
    143
    144
    145
    146
    147
    148
    149
    150
    151
    152
    153
    154
    155
    <?php
    if (empty($_SESSION['id']))
    {
    	$error['username'] = FALSE;
    	$error['password'] = FALSE;
    	$error['email'] = FALSE;
    	$error['captcha'] = FALSE;
    	$error['rule'] = FALSE;
    	$error['quest'] = FALSE;
    	$error['repon'] = FALSE;
    	$error['pseudo'] = FALSE;
     
    	if(isset($_POST['send']) && secu($_POST['send']) == 'send')
    	{
    		$username = secu($_POST['username']);
    		$password = ($_POST['password']);
    		$password_conf = ($_POST['password_conf']);
    		$email = secu($_POST['email']);
    		$captcha = secu($_POST['captcha']);
    		$question = secu($_POST['quest']);
    		$reponse = secu($_POST['repon']);
    		$pseudo = secu($_POST['pseudo']);
    		$hash = password_hash($password,PASSWORD_BCRYPT) ;
     
    		$register['username'] = FALSE;
    		$register['password'] = FALSE;
    		$register['email'] = FALSE;
    		$register['captcha'] = FALSE;
    		$register['rule'] = FALSE;
    		$register['quest'] = FALSE;
    		$register['repon'] = FALSE;
    		$register['pseudo'] = FALSE;
     
    		if(!empty($_POST['quest']) && strlen($_POST['quest']) > 6)
    		{	$register['quest'] = TRUE;}
    		else
    		{	$error['quest'] = TRUE;
    			$errQuest = "<span class=\"red\">Vous devez entrée une question de plus de 6 caractère.</span>\n";
    		}
     
    		if(!empty($_POST['repon']) && strlen($_POST['repon']) > 3)
    		{	$register['repon'] = TRUE;}
    		else
    		{	$error['repon'] = TRUE;
    			$errRepon = "<span class=\"red\">Vous devez entrée une question de plus de 3 caractère.</span>\n";
    		}
     
    		if(!empty($_POST['pseudo']) && strlen($_POST['pseudo']) > 3)
    		{	if(how_db2('accounts', 'pseudo', $username) == 0)
    			{	$register['pseudo'] = TRUE;
    			}
    			else
    			{	$error['pseudo'] = TRUE;
    				$errPseudo = "<span class=\"red\">Le pseudo est déjà utiliser</span>\n";
    			}
    		}
    		else
    		{	$error['pseudo'] = TRUE;
    			$errPseudo = "<span class=\"red\">Aucun pseudo n'est indiquer</span>\n";
    		}
     
    		if(isset($_POST['username']) && secu($_POST['username']) != '')
    		{
    			if(how_db2('accounts', 'username', $username) == 0)
    			{
    				$register['username'] = TRUE;
    			}
    			else
    			{
    				$error['username'] = TRUE;
    				$errUser = "<span class=\"red\">Le Nom de compte est déjà utiliser</span>\n";
    			}
    		}
    		else
    		{
    			$error['username'] = TRUE;
    			$errUser = "<span class=\"red\">Aucun Nom de compte n'est indiquer</span>\n";
    		}
     
    		if(isset($_POST['password']) && secu($_POST['password']) != '' && isset($_POST['password_conf']) && secu($_POST['password_conf']) != '')
    		{
    			if($password == $password_conf)
    			{
    				$register['password'] = TRUE;
    			}
    			else
    			{
    				$error['password'] = TRUE;
    				$errPass = "<span class=\"red\">Les Mots de passes ne sont pas identiques</span>\n";
    			}
    		}
    		else
    		{
    			$error['password'] = TRUE;
    			$errPass = "<span class=\"red\">Aucun Mots de passes ne sont indiquer</span>\n";
    		}
     
    		if(isset($_POST['email']) && secu($_POST['email']) != '')
    		{
    			if(preg_match("/^[a-z0-9\-_.]+@[a-z0-9\-_.]+\.[a-z]{2,3}$/i",$email))
    			{
    				$register['email'] = TRUE;
    			}
    			else
    			{
    				$error['email'] = TRUE;
    				$errMail = "<span class=\"red\">L'Adresses E-Mail n'est pas valide</span>\n";
    			}
    		}
    		else
    		{
    			$error['email'] = TRUE;
    			$errMail = "<span class=\"red\">Aucune Adresses E-Mail n'est indiquer</span>\n";
    		}
     
    		if(isset($_POST['captcha']) && secu($_POST['captcha']) != '')
    		{
    			if(strtoupper($captcha) == $_SESSION['captcha'])
    			{
    				$register['captcha'] = TRUE;
    			}
    			else
    			{
    				$error['captcha'] = TRUE;
    				$errCode = "<span class=\"red\">Le Code de sécurité n'est pas valide</span>\n";
    			}
    		}
    		else
    		{
    			$error['captcha'] = TRUE;
    			$errCode = "<span class=\"red\">Aucun Code de sécurité n'est indiquer</span>\n";
    		}
     
    		if(isset($_POST['rule']))
    		{
    			$register['rule'] = TRUE;
    		}
    		else
    		{
    			$error['rule'] = TRUE;
    			$errRule = "<span class=\"red\">Les Conditions Générales d'Utilisation doivent être lu et compris</span><br /><br />\n";
     
    		}
     
    		if($register['username'] && $register['password'] && $register['email'] && $register['captcha'] && $register['quest'] && $register['repon'] && $register['pseudo'])
    		{
    			$sql = "INSERT INTO `accounts` (account, pass, email, question, reponse, pseudo) VALUES ('".$username."','".($hash)."','".$email."', '".$question."', '".$reponse."', '".$pseudo."')";
    			$sql = $db2->prepare($sql);
    			$sql->execute();
    			$sql = "SELECT * FROM `accounts` WHERE account = '".$username."'";
    			$sql = $db2->prepare($sql);
    			$sql->execute();
    			$data = $sql->fetch(PDO::FETCH_ASSOC);
    			$_SESSION['id'] = $data['guid'];
    ?>
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    <?php
    $error = FALSE;
     
    if(empty($_SESSION['id']))
    {
       if(isset($_POST['send']) && secu($_POST['send']) == '')
       {
    	  if(isset($_POST['account']) && secu($_POST['account']) != '' && isset($_POST['pass']) && secu($_POST['pass']) != '')
    	  {
    		 $login = secu($_POST['account']);
    		 $pass = (secu($_POST['pass']));
    		 $hash = password_hash($pass,PASSWORD_BCRYPT) ;
    		 if(how_db2('accounts','account',$login) == 1)
    		 {
    			$sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
    			$sql = $db2->prepare($sql);
    			$sql->execute();
    			$data = $sql->fetch(PDO::FETCH_ASSOC);
    			$db_pass = $hash;
    			if($pass == $db_pass)
    			{
    			   $_SESSION['id'] = $data['guid'];
    			   if(secu($_POST['page']) && secu($_POST['page']) != 'login')
    			   {	
    				 echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">';
    			   }
    			   else
    			   {	
    				 echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">';
    			   }
    			}
    			else
    			{	
    			   $error = TRUE;
    			   $msgError = 'Nom de compte ou mot de passe invalide !';
    			}
    		 }
    		 elseif(how_db2('accounts','account',$login) > 1)
    		 {	
    			$error = TRUE;
    			$msgError = 'Plusieurs comptes ont le même nom de compte !';
    		 }
    		 else
    		 {	
    			$error = TRUE;
    			$msgError = 'Nom de compte ou mot de passe invalide !';
    		 }
    	  }
    	  else
    	  {
    		 $error = TRUE;
    		 $msgError = 'Veuillez remplir tous les champs !';
    	  }
       }

  2. #2
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Il faut utiliser password_verify() pour comparer les mots de passe.
    password_hash() utilise un sel et donc le hashage est différent à chaque fois.

    De plus tu t'es emmêlé les pinceaux entre tes variables. D'ailleurs je ne vois pas comment ça peut ne pas marcher du coup avec ce $db_pass = $hash;
    Également, je ne sais pas ce que fais ta fonction secu() mais c'est une mauvaise idée d'utiliser une fonction maison : pour la sécurité des requêtes il existe les requêtes préparées.

    Pour finir tu as des fautes d'orthographes dans tous tes messages d'erreur.
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  3. #3
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2016
    Messages : 135
    Points : 45
    Points
    45
    Par défaut
    Pour les fautes, oui je les corrigerais, juste la je les ai faite assez tard, mais c’est vrai que en les relisant, elles sont flagrantes ><

    Après, $db_pass=$hash c'est pour indiquer que le hash c'est le contenu $pass de la BDD. Avant c'était [c]$db_pass = $pass[/cI].
    Elles sont comment les requêtes préparées pour ça.?

    Donc pour les 2 pages, j'utilise password_verify() et je remet $db_pass = $pass ?

  4. #4
    Invité
    Invité(e)
    Par défaut
    Bonjour,

    Le mieux est TOUJOURS de commencer par LIRE LA DOC : password_verify()

  5. #5
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    Après, $db_pass=$hash c'est pour indiquer que le hash c'est le contenu $pass de la BDD.
    sauf que $pass c'est ce qui est saisi dans le formulaire.

    Pour les requêtes préparées, bien écrit ça donne ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    $sql = "SELECT * FROM `accounts` WHERE `account`= ?";
    $sth = $db2->prepare($sql);
    $sth->execute(array($login));
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  6. #6
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2016
    Messages : 135
    Points : 45
    Points
    45
    Par défaut
    merci pour la doc

    ah oui, mais je ne vois pas où le mettre dans mon code ça :-/

  7. #7
    Modératrice
    Avatar de Celira
    Femme Profil pro
    Développeuse PHP/Java
    Inscrit en
    Avril 2007
    Messages
    8 633
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : Développeuse PHP/Java
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2007
    Messages : 8 633
    Points : 16 372
    Points
    16 372
    Par défaut
    Citation Envoyé par sabotage Voir le message
    sauf que $pass c'est ce qui est saisi dans le formulaire.

    Pour les requêtes préparées, bien écrit ça donne ça :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    $sql = "SELECT * FROM `accounts` WHERE `account`= ?";
    $sth = $db2->prepare($sql);
    $sth->execute(array($login));
    A priori, à la place de ce code :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    $sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
    $sql = $db2->prepare($sql);
    $sql->execute();
    Modératrice PHP
    Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs. (Rappel : "ça ne marche pas" n'est pas un message d'erreur)
    Cherchez un peu avant poser votre question : Cours et Tutoriels PHP - FAQ PHP - PDO une soupe et au lit !.

    Affichez votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur) et [C=php][/C]

  8. #8
    Invité
    Invité(e)
    Par défaut
    Bonjour,

    si on réunit toutes les infos fournies (+ gestion d'erreurs +...) :

    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    <?php
    		 $login = secu($_POST['account']);
    		 $pass = (secu($_POST['pass'])); // mot de pass reçu, en clair
    		 if(how_db2('accounts','account',$login) == 1)
    		 {
    			// 1/ on cherche d'abord si ce login est bien dans la BdD
    			$sql = "SELECT guid, db_pass FROM accounts WHERE account = :login"; // on n'a besoin de récupérer QUE l'id et le mot de passe hashé
    			$sth = $db2->prepare($sql);
    			$sth->execute(array(':login' => $login));
    			$login_nombre = $sth->rowCount();
    			// 2/ si login OK : on vérifie le mot de passe
    			if( $login_nombre == 1)
    			{
    				$data = $sql->fetch(PDO::FETCH_ASSOC);
    				$db_pass_hash = $data['db_pass'];
    				if( password_verify($pass, $db_pass_hash) ) // compare le mot de pass reçu en clair avec le mot de passe hashé en BdD
    				{
    					// login et mpd OK !
    					// on met en SESSION
    					$_SESSION['id'] = $data['guid'];
    					if(secu($_POST['page']) && secu($_POST['page']) != 'login')
    					{	
    						//echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">'; // ??????????
    						header('location: index.php?page='.secu($_POST['page']) );
    					}
    					else
    					{	
    						//echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">'; // ??????????
    						header('location: index.php?page=home' );
    					}
    				} else {
    					// mauvais mot de passe
    				}
    			} else {
    				// login pas trouvé
    			}
    		 }

  9. #9
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2016
    Messages : 135
    Points : 45
    Points
    45
    Par défaut
    Alors avec la doc, j'ai réussi à résoudre le soucis^^
    (je vais garder le site en tête ><)

    je vais adapter le code que vous m'avez fournis (et que je vous en remercie grandement ), je vais y mettre le code une fois au poil^^

  10. #10
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mai 2016
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Vaucluse (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : Mai 2016
    Messages : 135
    Points : 45
    Points
    45
    Par défaut
    navré du temps de réponse mais entre IRL et les projets que je me mets en tête, je m'en sors plus xD
    notamment des trucs en java que l'on m'a demandé ><

    voilà donc le code promis ^^

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    <?php
    $error = FALSE;
     
    if(empty($_SESSION['id']))
    {
       if(isset($_POST['send']) && secu($_POST['send']) == '')
       {
    	  if(isset($_POST['account']) && secu($_POST['account']) != '' && isset($_POST['pass']) && secu($_POST['pass']) != '')
    	  {
    		 $login = secu($_POST['account']);
    		 $pass = (secu($_POST['pass']));
    		 $hash = password_hash($pass,PASSWORD_BCRYPT) ;
    		 if(how_db2('accounts','account',$login) == 1)
    		 {
    			$sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
    			$sql = $db2->prepare($sql);
    			$sql->execute();
    			$data = $sql->fetch(PDO::FETCH_ASSOC);
    			$db_pass = $pass;
    			if(password_verify($pass, $hash))
    			{
    			   $_SESSION['id'] = $data['guid'];
    			   if(secu($_POST['page']) && secu($_POST['page']) != 'login')
    			   {	
    				 echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">';
    			   }
    			   else
    			   {	
    				 echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">';
    			   }
    			}
    			else
    			{	
    			   $error = TRUE;
    			   $msgError = 'Nom de compte ou mot de passe invalide !';
    			}
    		 }
    		 elseif(how_db2('accounts','account',$login) > 1)
    		 {	
    			$error = TRUE;
    			$msgError = 'Plusieurs comptes ont le même nom.!';
    		 }
    		 else
    		 {	
    			$error = TRUE;
    			$msgError = 'Nom de compte ou mot de passe invalide !';
    		 }
    	  }
    	  else
    	  {
    		 $error = TRUE;
    		 $msgError = 'Veuillez remplir tous les champs !';
    	  }
       }
    ?>

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. hashage de mots de passe incorrect
    Par supcomingenieur dans le forum Langage
    Réponses: 3
    Dernier message: 30/05/2013, 19h04
  2. [1.x] sfDoctrineGuardPlugin et hashage de mot de passe
    Par etoileweb dans le forum Symfony
    Réponses: 6
    Dernier message: 03/11/2010, 16h25
  3. Hashage de mot de passe en SHA-1
    Par Yoann.chambonnet dans le forum Spring
    Réponses: 1
    Dernier message: 29/09/2009, 17h03
  4. [Security] Implémentation de UserDetailsService et hashage du mot de passe
    Par Treydone dans le forum Spring
    Réponses: 2
    Dernier message: 02/09/2009, 21h26
  5. Sécurité BDD, hashage des mots de passe
    Par Link3 dans le forum PHP & Base de données
    Réponses: 5
    Dernier message: 12/10/2006, 19h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo