Discussion :

[mouatte]

Bonjour,
J'ai une base de données PHP 5.2.6 MySql 5.0.51b Apache 2.2.8.
J'utilise une page qui permet d'authentifier les utilisateur de cette base.
Les utilisateurs sont directement ceux de MySql
Le nom et le mot de passe est enregistré dans des variables de sessions, mais en clair. Et j'utilise un script php qui est appelé dans chaque page, ce qui permet de faire la connexion avec MySql avec ces variables

Mon problème c'est que niveau sécurité c'est pas terrible.

J'essaye de ne pas mettre d'utilisateurs est mot de passe dans le fichier de connexion, car je voudrais gérer les utilisateurs directement avec MySql.

Donc ma question est de savoir comment chiffrer mon mot de passe en variable de session et que MySql le prenne en compte ?

Merci par avance

[sabotage]

Mon problème c'est que niveau sécurité c'est pas terrible.

Pourquoi ?

[mouatte]

Car si je fait $_SESSION['mdp'], j'ai le mot de passe en clair.
Il est peut être possible qu'une personne malveillante, puisse récupérer cette variable ou alors en sniffant le réseau, il puisse découvrir, le mot de passe
non

[Gaara-Manga]

Crypte le en md5 lorsque tu définit ta session par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$SESSION['mdp'] = md5($mdp);

Comme sa il sera indécryptable mais toi sa changeras pas grand chose à ton appli

[mouatte]

Le problème c'est que MySql, l'accepte pas les mot de passe crypté en direct
Car si je mets le mot de passe dans $_SESSION["mdp"] c'est que je doit l'utiliser pour le script de connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$db=mysql_connect($db_host,$_SESSION["user"],$_SESSION["mdp"]) or die("Pas accès à la base !!!");
mysql_select_db($database,$db) or die ("erreur de selection base de donnée");

[Sub0]

Pourquoi ne pas utiliser un espace membre ou un système d'identification avec htaccess ?

http://cchatelain.developpez.com/art...e/htaccess/#L2