Discussion :

[mouatte]

Bonjour,
J'ai une base de données PHP 5.2.6 MySql 5.0.51b Apache 2.2.8.
J'utilise une page qui permet d'authentifier les utilisateur de cette base.
Les utilisateurs sont directement ceux de MySql
Le nom et le mot de passe est enregistré dans des variables de sessions, mais en clair. Et j'utilise un script php qui est appelé dans chaque page, ce qui permet de faire la connexion avec MySql avec ces variables

Mon problème c'est que niveau sécurité c'est pas terrible.

J'essaye de ne pas mettre d'utilisateurs est mot de passe dans le fichier de connexion, car je voudrais gérer les utilisateurs directement avec MySql.

Donc ma question est de savoir comment chiffrer mon mot de passe en variable de session et que MySql le prenne en compte ?

Merci par avance

[sabotage]

Mon problème c'est que niveau sécurité c'est pas terrible.

Pourquoi ?

[mouatte]

Car si je fait $_SESSION['mdp'], j'ai le mot de passe en clair.
Il est peut être possible qu'une personne malveillante, puisse récupérer cette variable ou alors en sniffant le réseau, il puisse découvrir, le mot de passe
non

[Gaara-Manga]

Crypte le en md5 lorsque tu définit ta session par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$SESSION['mdp'] = md5($mdp);

Comme sa il sera indécryptable mais toi sa changeras pas grand chose à ton appli

[mouatte]

Le problème c'est que MySql, l'accepte pas les mot de passe crypté en direct
Car si je mets le mot de passe dans $_SESSION["mdp"] c'est que je doit l'utiliser pour le script de connexion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$db=mysql_connect($db_host,$_SESSION["user"],$_SESSION["mdp"]) or die("Pas accès à la base !!!");
mysql_select_db($database,$db) or die ("erreur de selection base de donnée");

[Sub0]

Pourquoi ne pas utiliser un espace membre ou un système d'identification avec htaccess ?

http://cchatelain.developpez.com/art...e/htaccess/#L2

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Il est peut être possible qu'une personne malveillante, puisse récupérer cette variable ou alors en sniffant le réseau, il puisse découvrir, le mot de passe

Ba de toute facon si on en est la, il peut tout aussi bien usurper la session php entiere ou recuperer le mot de passe quand il est envoyé lors de la connexion.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Car si je mets le mot de passe dans $_SESSION["mdp"] c'est que je doit l'utiliser pour le script de connexion :

On peut tout aussi bien stocker le hash du mot de passe dans la base de donnée.
Ainsi le mot de passe n'existe nul part.

[mouatte]

Pourquoi ne pas utiliser un espace membre ou un système d'identification avec htaccess ?

En fait je récupère l'identifiant et le mot de passe pour se connecter à mysql, donc je ne pense pas que je puisse le faire.

On peut tout aussi bien stocker le hash du mot de passe dans la base de donnée.
Ainsi le mot de passe n'existe nul part.

Oui mais pour se connecter à la base de données pour récupérer le mot de passe, il faut un identifiant est mot de passe.

Je pense que le plus simple est de mettre le base de données en https quand l'on se connecte de l'extérieur est en http normal, quand la base est consulté sur le réseau local

[sabotage]

C'est pourtant en local qu'il est plus facile de sniffer.

[mouatte]

C'est pourtant en local qu'il est plus facile de sniffer.

Donc il vaudrait mieux qui je passe la base complète en HTTPS ?

[ghost emperor]

crypte ton mot de passe en md5 ou sha1 dans la base de données. Ensuite, lorsque l'utilisateur se connecte, tu crypte le mot de passe qu'il a entré avec le même système que le cryptage que tu a utilisé pour ta base de données puis tu comparre les deux clées cryptées.

si elles sont identiques c'est que l'utilisatur a entré le bon mot de passe.
Moi j'utilise cela sur mes sites depuis un moment et j'ai jamais eu de problème.

[Sub0]

Moi j'utilise cela sur mes sites depuis un moment et j'ai jamais eu de problème.

+1

Ecoute donc mon conseil, utilise un espace membre tout simplement.
Selon moi, c'est la méthode la plus utilisée par les développeurs.

[mouatte]

Ok je vais suivre vos conseils merci