Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Crypter mot de passe ?] Crypter les mdp user en base ?
Bonjour à tous,
je voudrai savoir si lorsque l'on développe une application web (par exemple en php avec mysql), est ce qu'il est obligatoire de crypter les mots de passe des utilisateurs au sein de la base de données, afin que personnes ne puissent les voir, même pas les administrateurs.
je vous en remercie par avance
Cordialement
Casp
obligatoire?
tu veux dire au niveau légal, CNIL et compagnie ?
Ou au niveau logique?
Au niveau logique, rien n'est obligatoire, mais c'est juste prudent.
PS: Pour moi, tu parles plus de HASHER le mot de passe (fonction irréversible) que de le CRYPTER, car s'il est seulement crypté, il suffit d'avoir la bonne clé pour le décrypter et le lire...
SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.
"Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
Apparently everyone. -- Raymond Chen.
Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
oui, voila de hasher le mot de apsse, je ne me souvenais plus du terme exact.
en fait voila, cela concerne un jeu en ligne réalisé en php et j'ai apris que les mots de passe sont en clair dans la base de données.
je crois bien qu'une application grand pubic avec des données perso doivent avoir un système de gestion de mdp irreversible. Mais si à l'inscription sur le site, aucune déclaration de protection des données perso n'a été faite, même porter plainte ne pourra pas ateindre le concepteur vu que seul l'user est responsable d'avoir entré les info et donc de DONNER librement ses infos au autres.
Voila il pk il faut toujours lire les chartes et autre avant de cliquer bêtement sur j'accepte et continuer
Tout comme la vie, on ne participe pas à une guerre pour la perdre !!!
PinguY4Ever
Si phpbb est ce que tu appel une "application grand publique" alors c'est un magnifique contre-exemple.Envoyé par Thzith
Les vaches ne peuvent PAS voler, quoi qu'elles aient pu vous raconter.
A voir le nb de site stockant les mots de passe sans les hacher, cela ne doit pas être obligatoire.
Pour vérifier c'est simple, il suffit de dire qu'on a perdu notre mot de passe et s'il nous les renvoi, c'est qu'il sont stockés d'une manière réversible.
Perso, je préfere les hacher, parce que je suis plutot du style à imaginer le pire et qu'un hacker arrive jusqu'a ma base de donnée. Dans ce cas là, je préfere qu'il n'ai pas accès aux mot de passe en clair...
Ben oui, je pense, pour répondre à la question, qu'il faut TOUJOURS crypter (ou hasher) les mots de passe pour pas que le méchant Gargamel puisse utiliser votre compte (regarde trop les guignols, moi ^^; )
En PHP, j'utilise la fonction md5() et il est impossible de décrypter une chaine cryptée avec cette fonction.
md5() renvoie une chaine de 32 chiffres hexadécimaux et je trouve que c'est très utile dans les bases de données. Il suffit que le type de la colonne soit CHAR(32)
Après, il y a aussi la fonction crypt() mais je ne m'en rappelle plus trop
Ben moi, pendant très longtemps, j'ai eu la phobie des bases de données. Non sans blague,
j'ai toujours eu peur qu'il arrive un truc avec mes BD
Ca s'est un peu amélioré quand j'ai découvert md5()
je debute dans les base de donnée, et j'aurais une question , comment faire pour que mon mot de passe saisie par l'utilisateur dans un formulaire php soit crypter et stocker crypter dans ma base mysql.
Voici une partie du code
Merci d'avance de votre aide
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19$editFormAction = $_SERVER['PHP_SELF']; if (isset($_SERVER['QUERY_STRING'])) { $editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']); } if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form1")) { $insertSQL = sprintf("INSERT INTO inscription (numero, sexe, pseudo, password, date_j, date_m, date_a, pays, code_postal, ville, mail) VALUES (%s, %s, %s, %s, %s, %s, %s, %s, %s, %s, %s)", GetSQLValueString($_POST['numero'], "int"), GetSQLValueString($_POST['sexe'], "text"), GetSQLValueString($_POST['pseudo'], "text"), GetSQLValueString($_POST['password'], "text"), GetSQLValueString($_POST['date_j'], "int"), GetSQLValueString($_POST['date_m'], "int"), GetSQLValueString($_POST['date_a'], "int"), GetSQLValueString($_POST['pays'], "text"), GetSQLValueString($_POST['code_postal'], "text"), GetSQLValueString($_POST['ville'], "text"), GetSQLValueString($_POST['mail'], "text"));
je vois pas ce que tu veux dire : phpbb utilise le md5.Si phpbb est ce que tu appel une "application grand publique" alors c'est un magnifique contre-exemple.
Camélia Web : https://cameliaweb.fr/liens/
Si tu veux la solutio la plus sur, alors cache les dans la base de données en les cryptant mais ce n'est pas obligatoire!
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager