Discussion :

[noramokh]

Salut,

Sur mon site, j'ai un formulaire d'authentification par un pseudo et un mot de passe.
mon but: est de cacher le mot de passe pour ne pas s'afficher dans l'URL

j'ai utilisé la fonction password_hash (), mais il m'affiche des erreurs:

cas1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$pseudo = $_POST['pseudo'];
$password = $_POST['password'];
 
// Pour le hachage du mot de passe
 
$password = password_hash($password, PASSWORD_BCRYPT);
$sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo' AND password=$password";

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<br />
<b>Warning</b>:  pg_query(): Query failed: ERREUR:  erreur de syntaxe sur ou près de « y$10$evGK9UcOel55m5H8XzwHGu7wJdINq5z9ve54PtWIcFENkJAAujze2 »
LINE 1: ...&quot;Utilisateurs&quot; WHERE pseudo='omar' AND password=$2y$10$evGK9...

cas2:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo' AND password='$password'";

le code qui vérifie le mot de passe m'affiche un message d'erreur dans le mot de passe.
et la réponse dans l'inspecteur : null

où se trouve ma faute ?
et comment savoir que l'exécution de cette fonction est réussie?

merci d'avance

[sabotage]

Les données POST ne sont pas dans l'URL donc je ne vois pas de quoi tu parles.

[Celira]

Ton but est de vérifier un mot de passe qui a été hashé avec password_hash avant insertion en base, c'est bien ça ? Le principe de password_hash est de ne pas retourner le même hash pour une même chaine
Mots de passe sécurisés avec PHP 5.5

Il faut donc que tu utilises password_​verify. Pour cela, on procède en deux étapes :
Tu vas chercher les informations de ton utilisateur à partir du pseudo uniquement.
Puis tu compares le mot de passe en base et le mot de passe tapé via password_verify:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo'";
// on récupère les infos en base
// (...)
$passwordBdd = $result['password'];
 
if (password_verify($_POST['password'], $passwordBdd)) {
    echo 'youpi !';
} else {
    echo 'oups ! Mauvais mot de passe';
}

[noramokh]

Est ce que avec POST, je n'ai pas besoin d'hashage de mot de passe?

à celira,

le résultat après l'intégration de ton code était: oups ! Mauvais mot de passe{"id_utilisateur":"1","pse.....}

[Invité]

Bonjour,

Les mots de passe doivent être hashés avant de les enregistrer en BDD.

[Celira]

Pour compléter la remarque de jreaux et répondre à ta question :
Tu utilises password_hash sur le mot de passe avant l'insertion en base
Tu utilises password_verifiy pour comparer le mot de passe hashé stocké en base et le mot de passe tapé. Lorsque tu fais la vérification, tu n'appliques pas password_hash sur le mot de passe tapé.

C'est bien ce que tu fais ?

[noramokh]

Bonjour,

merci à vos réponses

si j'ai bien compris vos explication:

dans ma base de données, j'ai une table s'appelle "utilisateur" où les informations comme "pseudo", "password", "email",.. sont déja saisis dans cette table.

alors dans mon cas, je ne peux pas utiliser password_hash. Est ce que la méthode POST suffisante pour maquer le mot de passe?

et comment peut on utiliser cette fonction avant saisir les données ?

[Invité]

Bonjour,

donne des explications PRECISES.

Tes mots de passe enregistrés en base de données sont :

• "en clair" (lisibles)
• ou "hashés" ?

1/ Si il sont "en clair", alors c'est la mauvaise méthode.
2 cas :

1a/ tu laisses comme ça (mots de passe "en clair" en BdD)
auquel cas, inutile de chercher à "cacher" le mot de passe lors de la connexion de l'utilisateur.

1b/ tu corriges en BdD (= SECURITE des mots de passe EN BDD)
Il faut hasher les mots de passe DANS la BdD, car c'est là qu'il faut les protéger.
Un update des lignes de la table est nécessaire, avec utilisation de la fonction password_hash().


2/ Si ils sont déjà "hashés", alors c'est la méthode décrite par Celira qui convient.

[noramokh]

en fait, mon cas est la première.

merci beaucoup jreaux62, une bonne et claire explication.

[Celira]

Pour compléter la réponse : la méthode $_POST ne masque rien du tout. La seule différence entre POST et GET est que GET met les informations directement dans l'URL alors que POST les met dans le corps de la requête.

Demander si la méthode POST masque mieux le mot de passe que la méthode GET revient à demander si pour donner ton mot de passe à quelqu'un qui va le taper à ta place, il vaut mieux l'écrire sur un post-it ou le dicter à haute voix.