Discussion :

[olivierdauxais]

Bonjour,
J'entends parler de "md5" comme dépassé et que "sha" est mieux.
Quand pensez-vous?
Y a t'il encore mieux pour sécuriser les données dans une base de donnée?

[Invité]

Bonjour,

Quand pensez-vous?

Je pense en général le matin, au réveil.
Parfois un peu le soir.
Jamais dans la journée.

[ABCIWEB]

Bah écoute pas le dalmatien, on lui dit bien de boire plus de gamelles d'eau avec ces chaleurs mais il veut rien savoir.

Concernant les mots de passe oui et c'est facile avec php5.5 avec password_hash. Un tuto ici

[olivierdauxais]

Merci beaucoup ABCIWEB pour cette réponse précise et bien appuyée avec 2 liens.
J'ai lu ces 2 liens en diagonal. Ca a l'air bien et simple. Je vais les relire avec attention et...
Il ne me restera plus qu'a essayer sur mon WAMP PHP 5.5.12.
A l'heure actuelle, les mots de passe de mes utilisateurs sont stockés dans une colonne en "VARCHAR".
Avec "password_hash", dois-je changer ou rester ainsi?

Quant au dalmatien, qui aime bien Gandhi ;-) et qui philosophie... Je le sens très en lévitation... ;-)
Arriverais-je, un jour à son niveau ? ;-)

Ah, j'allais oublier. J'ai bien compris la différence entre hash et encrypt: L'un réversible et l'autre pas.
Pour mes autres données sensibles de ma base qui nécéssite la réversibilité.
Qu'est-ce qui est le mieux et simple pour encrypt et decrypt?

[ABCIWEB]

Une colonne varchar 255 est un bon choix pour recevoir le hash des pass (les pass ne doivent pas être réversibles).

Pour le reste, comme souvent le plus simple est de suivre les exemples de la doc php (et on trouve souvent des contributions intéressantes en bas de page).

Quant au dalmatien, oui il est taquin
(qu'en penses-tu ?)

[olivierdauxais]

Merci ABCIWEB.
Ok, bien noté pour le varchar 255.

Quant à la doc officielle de php, je n'arrive pas à m'y faire.
Elle est extrêmement nulle en terme de pédagogie et je n'arrive à apprendre qu'avec des tutos mais certainement pas avec la doc php.
Une fois que j'ai compris avec un tuto, je cherche éventuellement un complément d'infos dans la doc php.

Pour un tuto encrypt et decrypt, j'ai trouvé ça (en anglais, ça ne me gêne pas):

Est-ce trop vieux comme technique ou plutôt au gout du jour?

En vidéo très explicite sur la différence entre le hash et encrypt, j'adore celle-là:

Quant au dalmatien, oui, je suis d'accord plutôt taquin

[ABCIWEB]

Nan la doc php n'est pas nulle et sur le principe tu devrais plutôt commencer par t'y référer et chercher de la doc ailleurs en complément. Après évidemment suivant les sujet abordés c'est plus ou moins simple et un complément peut être utile.

Pour la vidéo, je ne regarde pas, perso l'anglais me dérange car je vais moins vite. Un bon point pour toi si cela ne te dérange pas. Et de toutes façons je ne peux pas te répondre avec précision sur encrypt car je ne hash que les mots de passe, donc je n'ai pas d'expérience réelle avec ces fonctions.

Sinon, pour la différence entre un hash et un cryptage, je ne regarde pas non plus car la différence est très simple, le premier est irréversible, le second est réversible (une clé permet de retrouver l'original).

[olivierdauxais]

@ABCIWEB,
Excuse-moi si ma remarque t'as énervé, ce n'était nullement mon intention.

Evidement que la doc php n'est pas nulle dans son contenu... Encore heureux.
Je disais qu'elle était nulle d'un point de vue pédagogique mais pas sur son contenu.

Je ne doute nullement que la différence entre hash et cryptage soit très claire pour toi.

Mais pour des gens comme moi qui sont des "visuels" et non des "intellectuels",
la deuxième vidéo que j'ai mis en lien est simplement EXCELLENTE en terme de pédagogie quand bien même son contenu est vide.
Et c'est bien pour cela que je l'ai mis car je crois qu'elle peut aider les "visuels" à comprendre pourquoi l'un est réversible et pas l'autre.

Quant à la première vidéo, y en a t'il parmi vous qui pourrait me dire si elle est dépassée ou encore au "gout du jour"?

[Invité]

On parle (encore) de moi ??

...la deuxième vidéo que j'ai mis en lien est simplement EXCELLENTE en terme de pédagogie quand bien même son contenu est vide...

Génial !
Une vidéo où on comprend tout... sur rien !!
(à part que sa chaussure est trop grande pour la boite !)
Il met plus de 5 min. à expliquer ce que ABCIWEB a mis 5 secondes à écrire :

... la différence entre un hash et un cryptage, ... le premier est irréversible, le second est réversible....

Plus sérieusement et pour mettre fin au débat, je pense que toute méthode est bonne à partir du moment où elle permet de progresser.

La doc. officielle de PHP est là pour lister (entre autres) toutes les fonctions disponibles en PHP.
On y découvre aussi les nouveautés, avertissements, fonctions obsolètes...
Après, à chacun de faire ses recherches perso. ce ne sont pas les exemples et tutos qui manquent !

[ABCIWEB]

Nan je n'étais pas énervé. C'est pas parce que je dis non que je suis énervé
La doc php n'est peut-être pas pédagogique selon tes critères, mais il y a des exemples d'utilisation, des contributeurs, et aussi des lien vers d'autres fonctions voisines ou cousines. Je serais content par exemple de trouver une doc aussi bien faite en javascript (si tu as un lien je suis preneur).

[olivierdauxais]

A notre dalmatien très taquin, je dirais que la pédagogie ne consiste pas à dire les choses mais à les faire comprendre.
Au contraire d'une chose dite, une chose comprise ne sort jamais de la mémoire.

Pour taquiner en juste retour des choses notre cher dalmatien:
Comprends tu l'anglais ou as tu deviné grâce à la video?

Plus sérieusement, toi le dalmatien qui comprends l'anglais, pourrais-tu me dire si la première vidéo est au gout du jour ou dépassé?

Merci.

[Invité]

Has been.
Code obsolète.

1/ Hashage des mots de passe : OK
L'intérêt essentiel est de ne pas faire transiter les infos en clair à chaque connexion.

2/ Concernant le cryptage (réversible, donc), la bonne question est : "pour se protéger de QUI ?"

• les collègues de la boite ?
• la femme de ménage ?
• les visiteurs du site ?
• les hackeurs ?
• les espions aux "grandes oreilles" ?

Le cryptage n'a donc d'intérêt que lors de transactions d'informations "sensibles", comme l'échange d'emails, documents,... , transitant par internet.
Pour un site web... (hors paiements bancaires, mais il vaut mieux laisser les banques s'en charger) : bof.

3/ De toute façon, à partir du moment où un intrus à accès à la base de données, c'est déjà mal barré...
hackeurs et espions ont le temps et les moyens de casser les cryptages... et la plupart des mots de passe, d'ailleurs.

[ABCIWEB]

J'ajoute que concernant les mots de passe c'est ok mais c'est l'ancienne méthode. Avec php 5.5 password_hash est plus indiqué et conçu pour cela (j'ai donné un lien dans mon premier message). Donc finalement has been également si on développe du code aujourd'hui avec les fonctions recommandées.

Sinon l'utilisation de mysqli n'est pas obsolète, mais on s'en sert surtout pour mettre du vieux code à jour à peu de frais. L'extension standard aujourd'hui est pdo. Et si l'on utilise mysqli, il faut utiliser mysqli_real_escape_string() avec passage de l'identifiant de connexion dans la fonction et non pas mysql_real_escape_string() comme dans sa fonction "protect()". Par ailleurs que on utilise l'une ou l'autre de ces deux fonctions il ne faut pas utiliser addslashes en complément et ça c'est une erreur grossière

Reste l'utilisation de encrypt et là c'est simplement une utilisation basique de crypt sans le paramètre iv. Alors que le manuel fourni un exemple complet dans la doc. Et si cela te paraît obscure tu pouvais regarder la première contribution de cette même page qui te donne une classe toute faite (je rajoute juste un header pour afficher correctement des caractères spéciaux) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
<?php
header('Content-type: text/html; charset=UTF-8');
 
class Cipher {
    private $securekey, $iv;
    function __construct($textkey) {
        $this->securekey = hash('sha256',$textkey,TRUE);
        $this->iv = mcrypt_create_iv(32);
    }
    function encrypt($input) {
        return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
    }
    function decrypt($input) {
        return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
    }
}
 
$cipher = new Cipher('secret passphrase');
 
$encryptedtext = $cipher->encrypt('Un texte encrypté avec des caractères spéciaux @ $£*¤*/.?');
echo "->encrypt = $encryptedtext<br />";
 
$decryptedtext = $cipher->decrypt($encryptedtext);
echo "->decrypt = $decryptedtext<br />";
 
var_dump($cipher);
 
?>

Quand je te disais qu'on trouve beaucoup de choses dans la doc et qu'il valait mieux commencer par s'y référer

Là tu as perdu du temps avec ta vidéo non seulement obsolète mais qui en plus comporte des erreurs. Et puis sur le principe, franchement des vidéos pour apprendre à coder... très pratique pour recopier des bouts de code entre autre, et très instructif quand on voit le codeur écrire son code et faire des corrections... bref on peut difficilement faire pire comme support. Je dis pas de temps en temps quand on est vraiment débutant sur un sujet, mais franchement mieux vaut éviter.
Après google va te mettre des vidéos youtube à toutes les sauces, évidemment puisque youtube appartient à google, mais niveau pertinence c'est nase la plupart du temps (comme quoi google se fout pas mal de la pertinence, il met ses propres services en avant).

Et en complément de la remarque de jreaux62 concernant la pertinence du cryptage, il faut être conscient aussi que celui qui possède la clé peut tout décrypter. Donc si ton serveur est piraté en même temps que ta bdd, la clé sera vite trouvée, sinon tout en restant secrète elle peut aussi être appelée juste pour les besoins du décryptage, ce qui fait que le système est très difficilement efficace dans un environnement standard en cas de piratage majeur.
Seuls les hash sont plus sécurisés car non réversibles, mais pas infaillibles car il existe la force brute et c'est pour cette raison qu'il faut définir un coût serveur le plus important possible tout en restant compatible avec la puissance du serveur.

[olivierdauxais]

@jreaux62:
Oui, en effet, c'est mal barré si un intrus a un accès à la base de donnée.

Je cherche à protéger d'un éventuel hackeur (mais, en effet, je me disais qu'un encryptage ne résistera pas longtemps à un hackeur qui trouvera vite la clé) la date et lieu de naissance ainsi que les adresses email de mes membres.
J'aimerai aussi protéger les retours de données de banque après paiement qui contiennent les adresses postales.
Quant au paiement lui même, je laisse ça au banque comme tu dis. C'est mieux ainsi.

Ce qui sur est que je prendrai un certificat SSL pour offrir une connexion https.

Donc pour résumer, encrypter et décrypter va beaucoup me compliquer mes scripts pour finalement un gain de protection bien faible par rapport à un hackeur déterminé.
Serait-ce un bon résumé?

@ABCIWEB merci BEAUCOUP pour ton tuyau "password_hash". Ca marche impeccable.
Oui, pour le cout serveur, je suis resté à la valeur par défaut: 10
Merci aussi pour toutes ces infos sur encrypt et décrypt.

Ah oui, pdo je n'y suis pas encore passé du tout et je reste avec mon bon vieux mysqli.
Mais là, si je dois refaire tout mon site en pdo, ça risque d'être long.

Aurais-tu un petit exemple de script php pour une petite action classique de requête de donnée:
Une version en mysqli et l'autre avec pdo... Histoire de permettre de comparer et d'estimer si c'est jouable pour moi de passer en pdo...

[ABCIWEB]

Donc pour résumer, encrypter et décrypter va beaucoup me compliquer mes scripts pour finalement un gain de protection bien faible par rapport à un hackeur déterminé.
Serait-ce un bon résumé?

Tant qu'il ne te pirate que la bdd sans pouvoir pirater ni utiliser la clé sur ton serveur ça peut être utile, mais évidemment cela te fera du travail en plus et est-ce vraiment utile... les adresses et mail ne sont pas des informations confidentielles et puis c'est pas si simple de pirater une bdd à moins d'une faille dans ton code, ou de laisser trainer imprudemment des identifiants de connexion sur le bureau etc.

Ah oui, pdo je n'y suis pas encore passé du tout et je reste avec mon bon vieux mysqli.
Mais là, si je dois refaire tout mon site en pdo, ça risque d'être long.

Bah si tout ton code est déjà fait avec mysqli pas la peine de passer à pdo. Mais sur le principe (avec pdo ou mysqli) toute requête contenant des données utilisateurs devrait être faite avec des requêtes préparées pour garantir le maximum de sécurité.

[olivierdauxais]

@ ABCIWEB,
Oui, bien sur, je fais des requêtes préparées.
J'ai un exemple de ma rédaction mysqli tout fait sur ma page de tuyaux:
http://www.olivierdauxais.fr/Tuyau03.php

Si tu as un moment, je veux bien que tu y jettes un œil et je suis évidement à l'écoute de toutes remarques.

Encore un gros merci pour le password_hash en php 5.5: Simple, efficace et facile.

[ABCIWEB]

J'ai pas tout lu en détail mais pour les requêtes non préparées je vois pas pourquoi tu n'utilises pas mysqli_real_escape_string() pour protéger les variables. Tu le faisais bien avec l'extension mysql donc y'a pas de raison de changer avec mysqli (au passage pour pdo l'équivalent est "quote()").

Sinon je déconseille de fermer la connexion en fin de script. C'est une source de problèmes en cas de scripts imbriqués et mysql ferme de lui-même la connexion automatiquement, donc perso je libère les ressources mais pas plus.

[Invité]

Au vu de tes scripts, j'ajouterai qu'une BONNE INDENTATION ne ferait pas de mal, pour la lisibilité et la compréhension.
Les gros pavés sont indigestes...
Plus de commentaires et commenter le script en français serait un plus.

[EDIT] Je suis aller voir du coté de ton autre tuto : "Construction de site Internet".
Je suppose que tu l'as écrit avant le bug de l'An 2000... (dans le code, pas une balise <p>, mais des <br /> à foison et des balises et attributs obsolètes)

On peut y lire, entre autres :

Pour en apprendre plus sur le langage HTML, il existe le site français: developpez.com.
Et en anglais, il existe le site: w3schools.com. Le site w3fools.com y dénonce des erreurs mais j'aime bien quand même w3Schools car je les trouve bons pédagogues pour enseigner le HTML.

Autant la 1ère référence est bonne, autant la 2ème...

N.B. Le dalmatien n'est pas que taquin. Il peut aussi être... mordant.

[re-EDIT] Par contre, j'ai aussi parcouru le reste de ton site (construction de tes bateaux, voyages,...) : chapeau !

[olivierdauxais]

@ ABCIWEB,

Merci beaucoup pour tes remarques.
Je n'ai jamais vraiment compris à quoi servait mysql_real_escape_string() et comme j'avais cru que comprendre que c'était moins nécessaire avec les requêtes préparées en msqli. Je n'ai pas ajouté la fonction mysqli_real_escape_string().
Aussi parce je ne savais pas trop à quel endroit l'intégrer. Où l'intégrerais-tu dans mon bout de code ci-dessous?
Comment l'écrirais-tu exactement dans l'exemple ci-dessous?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$VisitIp=$_SERVER['REMOTE_ADDR']; $VisitDate=date("y-m-d");
$MyBase = new mysqli(BaseHost, BaseUser, BasePass, BaseName);
$result = $MyBase->query('SELECT * FROM visitors WHERE VisitIp="'.$VisitIp.'" AND VisitDate="'.$VisitDate.'"');
$number = $result->num_rows; $result->free();
if ($number==0) {$statement = $MyBase->prepare("INSERT INTO visitors (VisitIp, VisitDate) VALUES (?,?)");
$statement->bind_param('ss', $VisitIp, $VisitDate); $statement->execute();} $MyBase->close();

Que veux-tu dire par "scripts imbriqués"?

@ Jreaux62,

A l'époque où j'ai écrit ce petit tuto "Construction de site Internet", je ne connaissais pas encore la directive "p".
Et oui, c'est vrai que je pourrais y mettre un coup de réactualisation... Un jour peut-être quand j'y trouverai le temps...
Mais qu'importe le fond du contenu, la forme du tuto est beaucoup plus enthousiasmante et encourageante qu'une attitude "taquine et réductrice"...

Quand à l'indentation, je n'aime pas ça et je préfère un gros pavé... C'est plus digeste pour moi.
Et c'est plus facile pour en faire une petite photo d'écran. Eh oui, on a pas tous des écrans sur-dimensionnés...
Comme tu disais précédement: "Je pense que toute méthode est bonne..."
Un gros pavé tient mieux dans le petit écran de mon netbook rechargé uniquement à l'energie solaire.
Pour plus d'infos sur le contexte, j'écrit ce post en ce moment de mon véhicule garé au pied du wifi de mon voisin qui habite à 800m de chez moi. Car chez moi, il n'y a pas l'EDF ni de connexion Internet... Et utiliser mon téléphone portable comme modem me réduit au GPRS... Y a pas la 3G et encore moins la 4G dans ma campagne profonde mais y a les oiseaux qui chantent...
Et pas de chien qui mord...

Merci pour le chapeau concernant mes autres activités.

[Invité]

1/ Ceci n'est PAS une requête préparée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$result = $MyBase->query('SELECT * FROM visitors WHERE VisitIp="'.$VisitIp.'" AND VisitDate="'.$VisitDate.'"');

De fait, on DOIT protéger les données :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$result = $MyBase->query('SELECT * FROM visitors WHERE VisitIp="'.mysqli_real_escape_string($VisitIp).'" AND VisitDate="'.mysqli_real_escape_string($VisitDate).'"');

2/ La requête préparée se présente comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$stmt = $MyBase->prepare('SELECT * FROM visitors WHERE VisitIp = ? AND VisitDate = ?');
$stmt->bind_param('ss', $VisitIp, $VisitDate);
$stmt->execute();
$result = $stmt->get_result();