Problème de hashage mot de passe

**fdweb** · 22/02/2015, 12h37

Bonjour,

J'ai créé un système d'authentification à partir du builder, mais lorsque je veux éditer un user, il m'affiche dans mon champ de mot de passe, le mot de passe hashé. Lorsque je modifie ce mot de passe il va en clair dans la db.

J'ai le même souci lors de la création d'un user, le mot de passe va en clair dans la db.

Comment puis-je résoudre ce souci ?

D'avance merci

P.S. : Si la question à déjà été posée, je m'en excuse d'avance mais je n'ai pas trouvé.

**imikado** · 22/02/2015, 13h20

Pour éditer un user, vous passez par le module créé par le builder ? celui-ci doit hasher le mot de passe pour le stoqué "non en clair" en base

**fdweb** · 22/02/2015, 13h22

Oui je suis passé par le builder, mais je ne sais pas pour quelle raison il le met en clair dans la DB

**imikado** · 22/02/2015, 13h57

Je viens de régénérer via le builder, la seule chose que je peux faire c'est modifier le groupe, mais je ne peux pas via la parti généré par le builder modifer le mot de passe

Vous avez pas putot généré un CRUD ?

**fdweb** · 22/02/2015, 14h14

Je suis vraiment désolé

c'est en effet pas mon jour et donc je vous fais perdre votre temps.

En effet, j'ai créer le système d'authentification via le builder et puis j'ai créé un crud sur mes tables.

**imikado** · 22/02/2015, 14h23

Pas de soucis, donc utilisez le builder pour créer l'authentification avec inscription pour vous faciliter la suite

**fdweb** · 22/02/2015, 14h25

Si j'utilise ce builder, les utilisateurs pourront s'inscrire eux même, et cela je ne le veux pas sur mon application.

N'y a-t-il pas un autre moyen ? Ou alors je n'ai pas tout suivi

**imikado** · 22/02/2015, 14h28

Vous pouvez créer sans le formulaire d'inscription
Vous aurez ainsi à créer la méthode permettant de hasher le mot de passe des utilisateurs, ensuite dans votre CRUD d'utilisateur vous pourrez l'appeler à l'enregistrement de votre module

**fdweb** · 22/02/2015, 14h38

La méthode pour hasher le mot de passe, elle n'est pas créée lorsqu'on fait un builder du module authentification sans inscription ?
Comment appeler cette méthode dans mon crud une fois qu'elle existe ?

**imikado** · 22/02/2015, 14h43

Cette méthode est nécessaire à l'authentification: on recoit le mot de passe en clair, on le hash pour verifier en base de donnée où il est stoquée hashé

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 public function hashPassword($sPassword){
       //utiliser ici la methode de votre choix pour hasher votre mot de passe
       return sha1('2votreSelAchanger2'.$sPassword);
   }

Donc oui: exactement le builder proposer ce code à copier/coller dans votre classe modèle d'utilisateurs

**fdweb** · 22/02/2015, 14h48

Dans le builder, lorsque j'ai fais "Créer un module d'authentification" j'ai du ajouter ces lignes à ma classe modèle d'utilisateurs.
Elles sont bien présentes dans mon code.

Donc maintenant, que puis-je mettre en place pour que dans le CRUD créer pour remplir ma DB users, il tienne compte de cela afin de hasher mon mot de passe, tant pour la création d'un nouvel utilisateur, que pour l'édition d'un utilisateur existant ?

Si j'en demande trop, n'hésitez pas à la dire ^^ Je vous remercie encore pour le temps passer avec moi

**imikado** · 22/02/2015, 14h55

C'est très simple, dans votre module CRUD utilisateur

Dans le fichier main.php, méthode processSave()

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
private function processSave(){
		if(!_root::getRequest()->isPost() ){ //si ce n'est pas une requete POST on ne soumet pas
			return null;
		}
 
		$oPluginXsrf=new plugin_xsrf();
		if(!$oPluginXsrf->checkToken( _root::getParam('token') ) ){ //on verifie que le token est valide
			return array('token'=>$oPluginXsrf->getMessage() );
		}
 
		$iId=_root::getParam('id',null);
		if($iId==null){
			$oUsers=new row_Users;	
		}else{
			$oUsers=model_Users::getInstance()->findById( _root::getParam('id',null) );
		}
 
		$tColumn=array('login','password','groups_id');
		foreach($tColumn as $sColumn){
			$oUsers->$sColumn=_root::getParam($sColumn,null) ;
		}
 
		//ICI

Donc apres l'enregistrement via cette boucle sur les propriétés, on ajoute par exemple pour un champ mot de passe "password" et une classe modèle model_Users.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
		//ICI
		//on hash
		$oUsers->password=model_Users::getInstance()->hashPassword($oUsers->password);

**fdweb** · 22/02/2015, 15h07

J'ai effectué les changements et ça fonctionne correctement !

Merci pour votre aide, et pour le temps passé à m'aider !

**imikado** · 22/02/2015, 15h11

Merci à vous d'utiliser ce framework, vous pouvez passer le topic en "résolu" avec le bouton ci dessous

A votre dispo

**Kristen Saphiroz** · 20/10/2015, 14h46

Bonsoir,

J'ai suivi le sujet, très intéressant. mon problème est presque similaire. Je bute sur la partie 'edit' de l'utilisateur connecté.
En effet dans ma vue utilisateurs/view/edit.php les informations(relatives à l'utilisateur connecté) de la table 'utilisateurs' s'affichent, avec, pour le mot de passe, une longue suite de caractères issus du hashage(c'est normal).
Je voudrais faire le processus inverse c'est à dire le déhashage (j’espère que ça se dit) du mot de passe afin qu'il s'affiche en clair dans le formulaire d'édition.
Comment faire cela?

**imikado** · 20/10/2015, 14h51

Ce n'est pas possible, c'est le but

L'idée de la sécurisation des mots de passe est simple: l'utilisateur entre une première fois son mot de passe en clair, on le passe dans un halgorythme qui crée une empreinte non reversible.

On stoque donc cette emprunte "sécurisée".

Lorsque l'utilisateur se logue, il saisi son mot de passe en clair dans le formulaire (il le connait), on le repasse dans le même algo, et on verifie l'empreinte générée

Ce n'est pas du chiffrage/dechiffrage (comme base4_encode/base64_decode), c'est du hashage

Si on vole votre base de donnée, le hackeur vole les logins (en clair) mais pas les mots de passe

**Kristen Saphiroz** · 20/10/2015, 14h58

OK, donc si l'utilisateur veut modifier son mot de passe, je vais lui faire ressaisir son ancien mot de passe (pour m'assurer que c'est vraiment le bon utilisateur) et comparer l'empreinte de celui ci avec l'empreinte présente dans la base. S'ils sont identiques alors je lui permet d'enregistrer un nouveau mot de passe. C'est bien cela qu'il faut faire?

**imikado** · 20/10/2015, 16h08

Exactement

C'est pour cela que sur les sites "sécurisé" quand on dit mot de passe oublié, on ne recoit pas son mot de passe, mais un lien permettant de l'écraser

**Kristen Saphiroz** · 20/10/2015, 16h14

super super, je comprend beaucoup de choses du coup. Je me le suis toujours demandé. merci encore.

**imikado** · 20/10/2015, 16h30

De rien, bon courage pour la suite

Problème de hashage mot de passe

MkFramework

Discussions similaires

Partager

Partager