Discussion :

[pitchu]

J'ai un table users. Je voudrais savoir comment tester si un user exite et récupérer si c'est le cas son pwd. J'ai pensé à utilisé les conditions if, else mais je suppose qu'on peut le faire avec une commande sql.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
user pwd
a      0123
b      9874

Pour trouver qu'un user existe je fais ca mais après je ne vois pas trop comment faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SELECT 1 FROM users Where user="a"

[Darkzinus]

Tu peux faire un truc "basique" du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Select coalesce(PSWD, "NON TROUVE") from users Where user='XXXXXXX'

Tu auras le PSWD s'il y en a un sinon tu as "NON TROUVE".

[Monstros Velu]

Bonjour,

globalement, récupérer le mot de passe d'un utilisateur n'est pas une bonne pratique. Le mot de passe stocké en base doit être hashé et ne doit plus avoir de valeur qu'en temps que comparaison avec un mot de passe hashé.

Du coup, on aurait une table

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
userId password_hash
a        0x0E7AAB0B4FF0FD2DFB4F0233E2EE7A26CD08F173  
b        0xF643A82F948DEFB922B12E50B950CEE130A934D6

et on passe la commande (j'ai mis SHA1, mais ça peut être un autre algo)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
select 1 from users where userId = 'a' and password_hash = HASHBYTES('SHA1', 'motdepasse')

Si une ligne est renvoyée, le couple user/password existe et le user peut se connecter.
Si aucune ligne n'est renvoyée, le user ne peut pas se connecter.

note que tu peux en profiter pour remonter des informations pertinentes pour le user en lieu du "select 1".

[pitchu]

Bonjour,
merci de vos aides

(j'avais pensé aux méthodes de hashage comme la méthode hash and salt, mais je ne savais pas qu'on pouvait le faire directement dans la requête ^^)

[SQLpro]

Bonjour,

globalement, récupérer le mot de passe d'un utilisateur n'est pas une bonne pratique. Le mot de passe stocké en base doit être hashé

Non, ça c'est une grosse connerie. Le mot de passe doit être stocké tel quel sous forme chiffré. Il existe des bases données assez stupide pour proposer de ne stocker que le hash (un MD5 en général) ce qui permet de casser l'accès en peu de temps). Exemple PostgreSQL !
https://paquier.xyz/postgresql-2/pos...uthentication/
Documentation de PG : "Also, the MD5 hash algorithm is nowadays no longer considered secure against determined attacks"
https://www.postgresql.org/docs/11/auth-password.html
De plus le chiffrement doit être salé, sinon une attaque par analyse fréquentielle est possible !
Dans les bons SGBDR (Oracle, SQL Server…) les mots de passe ont toujours été chiffrés. Aucun hash n'était stocké ni exposé….

A +

[Monstros Velu]

Bonjour,

je suis d'accord pour dire que ma réponse était trop rapide et qu'il faut utiliser un algorithme approprié et saler avec une valeur différente pour chaque mot de passe.
Par contre, à mon avis, le mot de passe ne doit pas être simplement chiffré, et je trouve même que c'est inquiétant qu'il puisse l'être, car chiffrer le mot de passe permet au propriétaire de la base de donnée de le déchiffrer...

[SQLpro]

Si tu es sur certains SGBDR comme PostgreSQL oui; Si tu es sur Oracle ou SQL Server non !!!!! Le propriétaire d'une base ne doit pas pouvoir ouvrir une clef de chiffrement. D'autant plus s'il utilise un HSM ce que PG ne permets pas :
https://fr.wikipedia.org/wiki/Hardware_Security_Module

A +

[best01]

Effectivement il est déconseillé de récupérer un password déjà en bdd, surtout que celui ci doit être chiffré, mais si tu veut voici la requette que je ferrai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SELECT champsPassword FROM TableUser WHERE champsNomUser = $user

champsPassword = le champs password
TableUser = La table
champsNomUser = le champs nom de l'utilisateur
$user = le nom que tu récupérè de ton formulaire