Discussion :

[ben.IT]

Bonjour à tous,
je viens d'achever le développement d'un projet html/mysql que j'héberge actuellement chez FREE.
L'accès est actuellement protégé par un fichier .htaccess.

L'application va être déposé chez un hébergeur pro, OVH, et je souhaiterai protéger l'accès à la base.
Comment faire est il toujours possible d'utiliser un htaccess ou faut il creer une table contenant le login et pwd des utilisateurs autorisés ??

De plus, la base contient une table avec des informations personnelles sur des individus : nom, prénom, ddn etc... que je souhaiterais crypter.
Comment procéder pour crypter cette table ss mysql ??

Je débute et j'avoue ne pas savoir trop par quel bout y prendre

Merci d'avance.

[Hinault Romaric]

Bonjour à tous,
L'application va être déposé chez un hébergeur pro, OVH, et je souhaiterai protéger l'accès à la base.
Comment faire est il toujours possible d'utiliser un htaccess ou faut il créer une table contenant le login et pwd des utilisateurs autorisés ??
[B]

Oui je crois que le mieux serais d'utiliser une table pour l'authentification et l'accès a ton site.

De plus, la base contient une table avec des informations personnelles sur des individus : nom, prénom, ddn etc... que je souhaiterais crypter.
Comment procéder pour crypter cette table ss mysql ??

Je crois qu'a ce niveau tu sera obliger de crypter tes données au niveau de l'application.

[ben.IT]

Bonjour et merci de ta réponse,
après avoir un peu réfléchi je pense conserver le mode d authentification via .htaccess car je souhaite que seulement quelques personnes désignées puissent accéder au service.

Par contre, je souhaiterais effectivement crypter les données sensibles, comment faire ? utiliser <?php echo crypt('mes donnees saisies par user'); ?> ??

Quel fonction de cryptage utiliser ??comment faire ??
Quel niveau de sécurité est offert ?

merci d'avance.

[ben.IT]

si quelqu'un sait comment crypter les données sensibles, cela m'intéresse...

merci

[kain_tn]

Bonjour.

Pour ce qui est du mot de passe, tu peux utiliser une fonction de hashage: le résultat est irréversible (dans la pratique, selon les algorithmes, il est possible de générer des collisions, par exemple avec des tables arc-en-ciel. Mais il existe des parades: les grains de sel).

Du coup quand l'utilisateur saisit son login et son mot de passe, tu vas chercher dans la base le couple login, hash(mot de passe) qui correspond.
Tu as plusieurs fonctions de hashage au sein de MySQL: dont md5() et sha1()

Pour augmenter la sécurité de ces fonctions (en particulier de md5), tu peux générer pour chaque création de compte un "grain de sel", que tu stockera en base avec le compte, ainsi qu'une clé (constante) que tu stockera cette fois au niveau de ton application. Ainsi tu pourrais par exemple hacher ton mot de passe de la façon suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$hash_pwd = md5($pwd.md5($sel.$pwd).$cle)

(il s'agit bien entendu d'un exemple et tu es libre de choisir l'ordre etc. L'idée étant que comme deux chaines très similaires ont des hash très différents, en modifiant l'empreinte de ton hash, le cracker ne peut pas retrouver le mot de passe car il ne sait pas ce qu'il doit chercher)

Pour ce qui est de crypter/décrypter tes données, tu peux utiliser AES_ENCRYPT() et AES_DECRYPT() par exemple. (il te faudra bien entendu définir une clé pour crypter et décrypter tes données, le mieux étant qu'elle soit stockée au niveau de l'application)

[ben.IT]

merci e ta réponse
benilto