Discussion :

[tribalnanasss]

Bonjour,

Je viens de me renseigner sur cette fonction pour pouvoir crypter certains champs de ma base de données qui est insérée à un site web.
J'ai quand même quelques petites questions dessus :

Tout d'abord, j'aimerai savoir comment créer ma clé (j'ai trouvé le site http://webnet77.com/cgi-bin/helpers/passwords.pl mais dois-je lui faire confiance ?)
j'ai aussi vu sur le site de documentation mysql qu'il était possible de stocker la clé dans une variable sur le serveur au moment de la connexion avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
SELECT @password:="my password";
INSERT INTO t VALUES (1,AES_ENCRYPT("text",@password));

Mais je n'arrive pas a comprendre ce que cela signifie; notamment l'utilisation de l'arobase pour déclarer la variable...

Merci de m'avoir lu et pour vos éventuelles réponses !

[ericd69]

Je viens d'apprendre que cela permettait de déclarer une variable d'environnement, seulement, je n'arrive pas à la déclarer en php...

J'y suis néanmoins arrivé à la déclarer en variable de session et j'aimerai donc savoir si la sécurité était suffisante (le fait de garder la clé en variable de session).

ps : serait-il possible de faire migrer ce sujet dans la partie PHP ?
merci

Salut... déjà une première chose, l'ordre des variables dans AES_ENCRYPT est l'inverse pour que ça marche:

• la chaîne à crypter
• la clé de cryptage

En fait, @password est juste une variable globale et non une variable d'environnement de ta session utilisateur mysql, utilisée pour passer la valeur du mot de passe. Les variables d'environnement, qui configurent le comportement de ta session, sont avec un double arobase.
on peut la fixer avec le code suivant (à mettre avant ton code (ou à envoyer à mysql avant d'exécuter ton bout de code) :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

set @password="truc";

Les variables globales n'ont pas à être déclarées avec un typage, elles permettent de stocker une valeur pour une utilisation entre plusieurs requêtes ou plus souvent, dans les requêtes préparées, pour le passage de paramètres. Tu les vois plus souvent dans une utilisation de mysql avec le client en ligne de commande.

tu peux donc utiliser directement ta variable PHP à encoder à la place.

"text" représente ici la chaîne de caractères qui sert de clé d'encryptage et que tu devras utiliser à l'identique donc dans AES_DECRYPT pour récupérer le contenu crypté précédemment. Par exemple:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

 select aes_decrypt(aes_encrypt("coucou","clé"),"clé");

...renverra la chaîne "coucou".

Important à savoir:

• Il existe différents algorithmes pour l'AES qui sont plus ou moins complexes et donc paramétrables.
• Comme les fonctions de cryptage/décryptage sont pas ou peu décrites pour php et mysql quand aux algorithmes et paramétrages choisis, tu dois donc soit utiliser uniquement celles de php ou celles de mysql car elles sont incompatibles entre elles.
• Pour info, il existe une librairie en JS de cryptographie, gratuite et entièrement paramétrable qu'on peut avoir ici.

En espérant que ça répondra aux question que beaucoup posent sur ce sujet et qui ont peu de réponses