developpement avec php

**G-Skov** · 13/10/2017, 12h10

bonjour! j'ai créer un utilisateur dans ma base de données et j'ai crypté le mot de passe avec md5. pour la vérification lors de l'authentification,j'ai utilisé la méthode get. mais je ne sais pas crypter la valeur saisie dans le formulaire d'authentification pour faire la vérification.j'ai besoin d'aide. merci d'avance
voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
<?php
		   if(isset($_GET['login']) && isset($_GET['pwd'])){
		        include_once("modules/configurations.inc");
				Connection_mySql();
		        mysql_select_db("moonsolutions13f") or die("erreur de connexion a la base de donnees");
				$query = "SELECT * FROM `administrateurs` ";
				$result = mysql_query($query) or die("erreur!!");
 
 
 
				    $d = false;
					while($row = mysql_fetch_row($result)){
 
 
 
 
				if((strcmp($row[1],$_GET['login'])==0) && (strcmp($row[2], $_GET['pwd'])==0)){
						   $d = true;
						}
                    }
 
 
                mysql_close();
				if( $d == false){
			       echo "<div class=\" TEXTE\">login ou mot de passe incorrecte</div>";
			    }else{
				   echo "<div class=\" TEXTE\">login et mot de passe correcte</div>";
				   $_SESSION['login'] = $_GET['login'] ; 
				   ?>
                   <script language="javascript" type="text/javascript">
                      <!--
                      window.location.replace("index2.php");
					-->
				   </script> 
                   <?php
				}
		   }
		?>
        <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="get">
           <div class="TEXT" align="center">
               <p>&nbsp;               </p>
               <p>
                 <font color='black'><input name="login" type="text" value="login" size="30" onFocus="javascript:this.value = '';">
                 <br>
                 <input name="pwd" type="password" value="mot de passe" size="30" onFocus="javascript:this.value = '';">
                 <br>
                 <input type="submit" value="connexion"></font>
               </p>
               <p><a href="./pwd_oubliee.php">Mot de passe oubli&eacute;</a></p>
           </div>
         </form>

Invité · 13/10/2017, 13h16

Bonjour,

**nektarfl** · 19/11/2017, 14h43

Le plus simplement du monde, tu cryptes le mot de passe que t'a fourni l'utilisateur en MD5 (même routine que lors de la saisie) puis tu compares les deux mots de passe codés (en privilégiant le fait que ton code récupère le mot de passe crypté dans la base de données par rapport au login, puis teste les deux mots de passe codés plutôt que d'aller chercher dans ta base de données si le couple login/mot de passe crypté correspond)
D'après ce que je sais d'un codage MD5, il n'y a aucun moyen de revenir en arrière pour retrouver le mot de passe initial.

Les fonctions ci-dessus ne te serviront que si tu utilises le cryptage correspondant ~~qui lui est réversible~~.

**ABCIWEB** · 20/11/2017, 23h48

@nektarfl
Oui mais non, tu fais fausse route.

jreaux62 a donné une réponse qui peut paraître un peu courte mais en même temps c'était la seule bonne réponse aujourd'hui. Il est très déconseillé d'utiliser MD5 ou même SHA pour hasher des mots de passe car la puissance des ordinateurs permet maintenant de les brute forcer en quelques jours voire moins suivant la puissance du réseau d'ordinateurs mis à la disposition des hackers.

Donc il faut utiliser des fonctions actuelles plus renforcées qui coûtent plus de temps serveur. Et comme l'indique son nom, password_hash() crée un hash qui par définition est non réversible.

Invité · 21/11/2017, 09h17

Réponse courte, certes, mais il suffit d'avoir la curiosité de cliquer sur les liens...

**grunk** · 21/11/2017, 09h49

Envoyé par nektarfl

Le plus simplement du monde, tu cryptes le mot de passe que t'a fourni l'utilisateur en MD5 (même routine que lors de la saisie) puis tu compares les deux mots de passe codés (en privilégiant le fait que ton code récupère le mot de passe crypté dans la base de données par rapport au login, puis teste les deux mots de passe codés plutôt que d'aller chercher dans ta base de données si le couple login/mot de passe crypté correspond)
D'après ce que je sais d'un codage MD5, il n'y a aucun moyen de revenir en arrière pour retrouver le mot de passe initial.

Les fonctions ci-dessus ne te serviront que si tu utilises le cryptage correspondant qui lui est réversible.

Avec MD5 on ne crypte pas (ca n'existe pas crypter en français d'ailleurs

) . C'est un hash donc on hache le mot de passe.
Un MD5 est en théorie irréversible , sauf que dans les faits , MD5 est faillible. Il existe ce qu'on appel des rainbow table qui permettent à partir d'un md5 de trouver la chaine de caractère originale si elle est assez "connue".

Les fonctions proposée par jreaux62 ne permettent pas non plus de revenir en arrière. Elle utilise par défaut BCrypt qui est un hash plus sécurisé.

En 2017 utilisé MD5 pour un mot de passe est une erreur.

**nine** · 21/11/2017, 10h43

c'est pourtant proposé dans la liste déroulante de phpmyadmin...

**ABCIWEB** · 21/11/2017, 13h37

Envoyé par nine

c'est pourtant proposé dans la liste déroulante de phpmyadmin...

Où ça, dans quel contexte ?

**sabotage** · 21/11/2017, 14h25

C'est proposé parce que ça existe, ça ne veut pas dire qu'il faut l'utiliser.

**nine** · 24/11/2017, 09h34

bof comme réponse

phpmyadmin/mysql c'est quand même un des rdbms les plus utilisés ... et je pense juste que c'est légitime de faire confiance, tu ne trouve pas ?

quand je vois md5 pour les mots de passe, je l'utilise

d'ailleurs j'aimerai bien savoir quelle est la meilleure façon de stocker le mot de passe en bdd directement dans phpmyadmin ?

merci, pour avancer et faire mieux

n

Invité · 24/11/2017, 09h51

Bonjour,

Juste une question : "nine", c'est ton age ?

Si tu avais cliqué * sur les liens que j'ai donnés, tu aurais trouvé la réponse.

* Ça, on ne peut pas le faire à ta place...

**sabotage** · 24/11/2017, 10h40

bof comme réponse
quand je vois md5 pour les mots de passe, je l'utilise

Dans la doc de PHP et dans la doc de Mysql il est indiqué de ne pas l'utiliser pour les mots de passe.
Autre chose ?

**nine** · 24/11/2017, 11h45

houla ne mordez pas !!

je prefere pas de reponse qu'a une reponse ou on repond je l'ai dit plus haut ou va sur google

j'ai pas fais gaffe,

je trouve juste un peu pertubant de dire dans la doc qui faut pas utiliser md5 mais le laisser sur leur outil. c tout !

le bof : c'etait pas mechant du tout !!

desole

bonne journée
ps: je voulais dire : que faut il choisir dans la liste deroulante si faut pas prendre md5, le mieux c quoi ?

**grunk** · 24/11/2017, 11h48

Envoyé par nine

c'est pourtant proposé dans la liste déroulante de phpmyadmin...

C'est proposé dans phpmyadmin pour tout VARCHAR , ca veux pas dire que c'est une bonne idée de l'utiliser pour des mots de passe.
MD5 reste valable dans certains cas , pas pour les mot de passe.

que faut il choisir dans la liste deroulante si faut pas prendre md5, le mieux c quoi ?

Il n'ya pas d'algo supporté par phpmyadmin suffisament robuste pour les mot de passe.
Mais en pratique personne ne rempli sa base avec phpmyadmin c'est fait avec du code , et là on utilise bcrypt voir éventuellement sha256

**nine** · 24/11/2017, 12h28

ok je te remercie

bonne journee
n

developpement avec php

EDI, CMS, Outils, Scripts et API PHP

Discussions similaires

Partager

Partager