Discussion :

[BYALI]

bonjour, j'ai un projet en PHP sql server,
j'ai une table dans laquelle je stocke les mots de passe de chaque utilisateur.

le souci c'est que je voudrai crypter les mots de passes dans la base de données pour que si même quelqu'un entre dans la base il ne comprendra rien.

faut -il un algorithme pour cryptage , décryptage ou bien la base de données sql server s'occupe automatiquement du cryptage????
si oui comment je peux le faire?? quelqu'un peut-t-il m'orienter???

mercie t salutations

[Madfrix]

Bonjour,

il faut que tu cryptes le mot de passe de l'utilisateur dans ta base au moment de la création du compte par un algo tel que :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$mdp_clair = $_POST['mdp'];
 
$mdp_crypt = sha1($mdp_clair);
// ou
$mdp_crypt = md5($mdp_clair);

Et ensuite, quand l'utilisateur se connecte, tu compares le md5 ou le sha1 de ce qu'il a rentré avec ta valeur en base. Attention: ces algo sont sensibles à la casse donc md5('unmotdepasse') est différent de md5('unMotDePasse') donc tu peux comparer le strtolower si la casse n'a pas d'importance pour toi

[BYALI]

merci pour la réponse, mais sha1 et md5 criptent mon mot de passe,
mais comment le décrypter pour la vérification lors de la connexion??

[Madfrix]

tu ne le décryptes pas justement c'est là l'intérêt justement si un pirate aspire ta base

En gros :

I Sur ta page php insérant un nouveau compte en base :

1) tu récupères le mot de passe en clair via un $_POST['mdp'] par exemple.
2) tu inséres en base dans le champs mdp du user la valeur sha1($_POST['mdp']) (bien sur après voir controlé les données rentrées par l'utilisateur)

II Lorsque l'utilisateur se connecte et rentre donc un mot de passe :

1) tu récupères le mot de passe en clair que tu converti en sha1()
2) tu vérifies si la valeur obtenue est celle stockée en base
-> si oui alors connection
-> si non alors mot de passe erroné

[ThomasR]

merci pour la réponse, mais sha1 et md5 criptent mon mot de passe,
mais comment le décrypter pour la vérification lors de la connexion??

Bonjour,
C'est justement tout l'intérêt du cryptage, ne pas pouvoir décrypter.

Pour vérifier il te suffit de comparer la valeur cryptée de la saisie avec celle existante pour ton utilisateur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$given_pwd = sha1($_POST['pwd']);
$exists = mysql_result(mysql_query('SELECT COUNT(id) AS nb FROM users WHERE pwd = "'.$given_pwd.'"'), 0, 'nb') > 0;

[BYALI]

oui j'ai compris, mais si jamais quelqu'un a oublié son mot de passe, et moi je suis un administrateur, je ne pourrais voir le mot de passe en clair même si j'accède à la base?? en gros y a pas de fonction contraire à sha1??

[Madfrix]

oui j'ai compris, mais si jamais quelqu'un a oublié son mot de passe, et moi je suis un administrateur, je ne pourrais voir le mot de passe en clair même si j'accède à la base?? en gros y a pas de fonction contraire à sha1??

Non, tu dois lui recréer un mot de passe aléatoire et lui fournir par mail par exemple

[BYALI]

merci à tous, vos réponses me sont de grandes lumières..