Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Inscription et identification sécurisé
Bonjour à tous,
Je suis en train de créer un gros site et je veux faire des zones membres.
Quelqu'un connaitrais un Tuto ou une façon de procéder pour créer des identifications sécurisés (Cryptage du MDP dans las base, sécurité sur les zones de texte, utilisation spécifique des variables SESSION, etc...) ?
Merci d'avance.
Concernant l'encodage des passwords dans la base de données j'ai pris l'habitude de concaténer un "salt" (chaine de 10 caractères alphanumériques aléatoire) avec le password, le tout encoder en SHA1, soit :
Le salt est stocké dans la table des utilisateurs.
Code : Sélectionner tout - Visualiser dans une fenêtre à part sha1(salt.password)
Je laisse d'autre personnes répondre sur les autres points.
Merci je vais jeter un coup d’œil la dessus
Alors j'ai bien réussi à encoder mon pass :
Ensuite, quand l'utilisateur tapera son mdp pour ce loger, je dois encoder sa frappe de la même manière et comparer ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part $password_crypte = sha1(sha1($password).$salt);
salut,
juste quelques infos pour bien comprendre la notion de "sécurisé":
- il n'existe aucune fonction de cryptage native en php, compatible avec mysql...
- md5,sha1, etc... sont des fonctions de hashage... en aucun cas des fonctions de cryptage...
- si tu veux faire une vraie zone sécurisée: ssl (tu cryptes l'échange), cryptage coté mysql (mot de passe) avec les fonction de cryptage (je te conseille AES, meilleure, ou DES, un peu moins sécurisée)...
md5 et sha1 sont cassables car on peut générer une collision: étant donné que plusieurs valeurs peuvent donner la même clé de hash, il suffit de trouver une des valeurs et non pas la valeur initialement utilisée...
comme ça ne se fait pas "au hasard", il existe des méthodes pour trouver une solution assez rapidement...
si tu veux utiliser ces fonctions confondues avec des système de cryptage, il faut impérativement limiter le nombre de tentative et bloquer l'IP pendant un certain temps ou définitivement (mais c'est pas conseillé vu que la majorité des gens ont une IP non fixe)...
Salut eric,
Tu parles de SSL pour le cryptage mais ceci n'as rien a voir avec le code. C'est, a ma connaissance un protocole d'echange client serveur utilisant le port 443 au lieu du port HTTP classique le 80 et donnant lieu au protocole HTTPS.
Ceci est une affirmation mais aussi une question, je serais ravi d'en apprendre a ce sujet, n'étant pas expert en ce domaine.
Répondre avec citation
Partager