Pb de password html vers php en clair

[shkyo]

Bonjour à tous,

Voici mon soucis, j'ai une BD MySQL avec quelques users créés directement avec MySQL Administrator.

D'un côté j'ai mon script html où il y a (entre autres) le code suivant :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<html>
<head></head>
<body>
<form method="POST" action="choix_graphs.php">
<label><p><b>Veuillez entrer votre identifiant et votre mot de passe :</b></p></label>
Identifiant : <input type="text" name="identifiant" value="" size="15" maxlength="15">
Mot de passe : <input type="password" name="motpasse" value="" size="10" maxlength="10"><br>
 
...plein de trucs dans un tableau...
 
<tr><td colspan="6"> <p align="center"> <input align="center" type="submit" name="bouton_val" value="OK" /></p> </td></tr>
</table>
</form>
</body>
</html>

et de l'autre, j'ai mon script php où il y a :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$mysqlhost="127.0.0.1";
$mysqluser=addslashes(trim($_POST["identifiant"]));
$mysqlpasswd=addslashes(trim($_POST["motpasse"]));
$mysqldbname="test_xxxx";
 
$link=mysql_connect($mysqlhost,$mysqluser,$mysqlpasswd);
if ($link==FALSE) {
	echo "<p><b>Impossible de se connecter à la base ! Réessayez plus tard...</b></p></body></html>\n";
	exit();
}

Et donc, tous marche très bien, mais même si j'utilise le type "password" dans mon script html qui cache ce que l'on tape, quand je récupère la valeur avec $_POST["identifiant"], à cet endroit (et pendant le transfert html->php) la valeur du mot de passe est en clair, ce qui est plutôt gènant pour un password...

Ma question est donc la suivante, comment je peux passer une valeur cryptée de mon html à mon php ???

Merci d'avance !

[NoT]

Je penses que tu devrais te pencher sur la technologie SSL et l'HTTPS , ça te permet d'encrypté les données qui circulent sur le net.

[shkyo]

Citation:

Envoyé par NoT

Je penses que tu devrais te pencher sur la technologie SSL et l'HTTPS , ça te permet d'encrypté les données qui circulent sur le net.

Effectivement, j'ai croisé des trucs la-dessus, d'après ce que j'ai compris, ce serait un module optionnel du serveur Apache pour pouvoir faire du ssl et utiliser des pages https.
Mais le soucis, c'est que je n'ai rien installé "à la main" concernant Apache, j'utilise WAMP 1.6.4 dans ce cas comment je peux installer le module qui va bien ???
J'en ai trouvé un ici : http://www.modssl.org/ mais je ne sais même pas si c'est le bon...
Quelqu'un a-t-il des infos la-dessus ??

Par contre, il paraît que c'est totalement transparent au niveau du code, est-ce vrai ?? Car cela m'arrangerait, vu que mon appli ne sera qu'en accès intranet de ma boite, avec un nombre d'utilisateurs très réduits.

C'est pour ça que je souhaite un peu de sécurité, mais pas une forteresse, car il n'y absolument aucun accès extérieur sur notre réseau.

[NoT]

WAMP n'a pas vraiment de vocation de faire des trucs ultra sécurisé, il est avant tout présenté comme un outil de développement, pas tellement pour un outil utilisé en production, même s'il s'y prete égualement.

Il faut que tu ai conscience du niveau de sécurité que tu souhaites sur ton serveur et y répondre de façon cohérente, pour moi vouloir faire du https sur un serveur gérer par WAMP me semble un peu démesuré, et reviendrait à placer une serrure blindée 5 points sur une porte en cagette, si tu vois ce que je veux dire.

Maintenant tu peux éviter que tes utilisateurs envoient à chaque fois leur mot de passe dès qu'ils veulent accéder à une page de ton intranet, ce qui réduira le traffic de mots de passe sur ton réseau, via la mise en place d'un systeme d'authenfication par session.

[shkyo]

Citation:

Envoyé par NoT

WAMP n'a pas vraiment de vocation de faire des trucs ultra sécurisé, il est avant tout présenté comme un outil de développement, pas tellement pour un outil utilisé en production, même s'il s'y prete égualement.

Il faut que tu ai conscience du niveau de sécurité que tu souhaites sur ton serveur et y répondre de façon cohérente, pour moi vouloir faire du https sur un serveur gérer par WAMP me semble un peu démesuré, et reviendrait à placer une serrure blindée 5 points sur une porte en cagette, si tu vois ce que je veux dire.

Maintenant tu peux éviter que tes utilisateurs envoient à chaque fois leur mot de passe dès qu'ils veulent accéder à une page de ton intranet, ce qui réduira le traffic de mots de passe sur ton réseau, via la mise en place d'un systeme d'authenfication par session.

Effectivement du ssl me semble très luxe, car entre temps, j'ai surfé sur le net pour trouver des infos, et ça m'a surtout l'air compliqué pour un débutant...

Je vais donc me pencher sur ces histoires de sessions, dont j'ai entendu parlé, mais que je n'ai jamais expérimenté... Mais bon, cela devrait pouvoir se faire !

Merci de tes conseils en tout cas.