Discussion :

[caema]

Bonjour à toutes et tous, et bonne année 2013

Malgré diverses recherches sur le web, je n'ai pas trouvé réponse à ma question.

Je suis en train de créer un site d'administration, et forcément, j'ai créer une table "users" pour les comptes administrateurs.

Comment faire pour que, lors de l'ajout ou de la modification d'un compte, le mot de passe inséré soit automatiquement hashé en MD5?

C'est quelque chose que je n'ai jamais réalisé.


Voilà, d'avance merci pour les réponses que vous pourrez m'apporter

[sabotage]

Avec mysql tu as la fonction MD5().

[caema]

Oups.... Désolée du dérangement je viens de trouver à l'instant, en faisant quelques tests ;-)

Dans ma requête SQL, j'ai simplement mis:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
INSERT INTO $laTable (login,password,nom,prenom,mail)
          ALUES ('$login',md5('$password'),'$nom','$prenom','$mail');

Ca fonctionne nickel!

Par contre, existe-t-il un moyen pour que, lorsque je tente de modifier un compte existant, le champs de formulaire qui reprend les données du password entré précédemment soit "rempli" par le mot de passe initial, et non pas le mot de passe hasché?

[Bovino]

Si c'était possible, ça servirait à quoi le hash ?

[armel18]

Impossible de retrouver le mot de passe d'origine à partir d'un mot de passe hashé car les fonctions de hashage(dont md5, ou sha) sont irréversibles.De plus il n y a aucun intérêt d'afficher un mot de passe dans le champ de formulaire lors d'une modification. Ce que tu peux faire c'est de demander à l'utilisateur de retaper son ancien mon de passe lors de toute édition.

le md5 n'est plus sécurisé, utilises plutôt le sha1 et éventuellement un mécanisme de salage.

[caema]

Ok, je vais tenter de mettre cela en place.

Le sha1 fonctionne sur le même principe que le md5?

Merci pour vos réponses ;-)

[Bovino]

sha1...

[caema]

En vous remerciant ;-)

[armel18]

oui le sha1 a exactement le même fonctionnement que le md5.

[maximiliend]

Comme dit précédemment, Sha1 et md5 sont des algo de hashage, donc irréversibles.
Mais je suis la pour appuyer armel18, ils ne sont en effet plus fiable, des failles ont étés trouvées. Mais il se rendent très utiles, et beaucoup plus fiable avec un mécanisme de salage.
Pour exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Au lieu de md5($motdepasse) tu peux privilégier par exemple sha1($pseudo.$motdepasse)