chiffrer un mot de passe

Version imprimable

bonjour j'ai essayé de chiffrer les mot de passe dans mon formulaire donc dans la page inscription j'ai fait

Code:

1
2
$mdp1= mysql_real_escape_string(Sha1($_POST['mdp1']));
$mdp2= mysql_real_escape_string(Sha1($_POST['mdp2']));

et les mots de passe sont bien chiffrés dans la BDD ; mais le probleme est que lors de la connexion il indique que les mot de passe sont erronés.

dans la page de connexion jai fait

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
<?php
$connect = mysqli_connect("localhost", "root", "", "projet") or ("échec  de connexion " . mysqli_error($connect));
if(isset($_POST['valider'])){
if (isset($_POST['pseudo'])  && isset($_POST['mdp']) ){
$pseudo=mysql_real_escape_string($_POST['pseudo']);
$mdp=mysql_real_escape_string(Sha1($_POST['mdp']));
 
//$pseudo=htmlentities($_POST['pseudo']);
//$mdp=htmlentities($_POST['mdp']);
 
$req=mysqli_query($connect," select *from utilisateur where pseudo='".$pseudo."' and mop='".$mdp."'") or die (mysqli_error($connect));
if($row  = mysqli_fetch_assoc($req)){
$num=$row['id_util'];
$nom=$row['nom'];
$prenom=$row['prenom'];
$pseudo=$row['pseudo'];
 
//sleep(4);
session_start();
$_SESSION['connecter']=true;
$_SESSION['num']=$num;
$_SESSION['nom']=$nom;
$_SESSION['prenom']=$prenom;
$_SESSION['pseudo']=$pseudo;
header ("location: acceil.php?numero=".$_SESSION['num']);
}
else{
$erreur = "V&eacute;rifier votre Pseudo ou mot de passe SVP!";
}}}	
?>

l 'erreur commence juste aprés l'ajout de sha1 c'est a dire que si j'enleve le sha1 tout fonctionne trés bien
pouvez vous m'aider svp ?

14/05/2015, 09h12
sabotage

Tu veux bien dire que tu as un mot de passe hashé dans le base de donnée mais que la connexion fonctionne quand tu ne fais pas sha1() dans la page de connexion ?
Si oui, je pense que tu interprètes mal tes résultats.

Pourquoi il y a deux mots de passe dans la page inscription ?
Est-ce que ta colonne mot de passe s'appelle vraiment "mop" ?
14/05/2015, 10h51
hannaria

slt Premièrement merci bien pour votre aide

concerne votre question oui ma colonne s'appelle "mop" et le deuxième mot de passe c'est pour la vérification si tout je n'ai pas fait tout le code d'inscription car il est un peu long ......le problème est dans sha1 leur syntaxe est juste je pense mais leur de vérification dans la connexion il indique que le mot de passe est faux

mon code est juste 100% avant l'ajoute de sha1 dans les page inscription et connexion donc le problème dans sha1
14/05/2015, 12h04
sabotage

Si le deuxième mot de passe est seulement la pour la comparaison, ça ne sert à rien de faire sha1() dessus.
De même ça ne sert à rien de faire mysql_real_escape_string() en plus de sha1() sur ton mot de passe.

Un problème classique est que ta colonne "mop" peut être trop petite : utilise binary(20)
14/05/2015, 12h56
hannaria

merci infiniment monsieur sabotage oui c'est vrais le problème est dans la taille si tout

et j'ai fait mysql_real_escape_string() en plus de sha1() pour sécurité mon formulaire ....a ce que ça c'est faux???
en plus J'ai fait mysql_real_escape_string() dans tous mes champs dans le formulaire de l’inscription pour les sécurisé aussi!!
14/05/2015, 13h36
sabotage

Tu as raison d'utiliser mysql_real_escape_string() quand tu mets des données non fiables dans une requête.
Mais sha1() produit un hashage, qui ne peut donc rien contenir de dangereux.
14/05/2015, 13h55
hannaria

oui vous avez raison merci encor foins
15/05/2015, 07h37
ABCIWEB

Salut,

Tant que tu es dans ton code, il serait judicieux d'utiliser sha 256 minimum avec la fonction hash hash("sha256",$_POST['mdp']) ou sha 512. Ce ne sont pas les fonctions les plus puissantes (crypt ou password_hash faisant mieux) mais c'est le minimum aujourd'hui, sha1 n'étant plus employé pour sécuriser des mots de passes. Si tu fais ces changements n'oublies pas de modifier la longueur de tes champs en bdd en conséquence.