utilisation de la fonction password_hash (), php 5.6

Version imprimable

Salut,

Sur mon site, j'ai un formulaire d'authentification par un pseudo et un mot de passe.
mon but: est de cacher le mot de passe pour ne pas s'afficher dans l'URL

j'ai utilisé la fonction password_hash (), mais il m'affiche des erreurs:

cas1:
Code:

1 2 3 4 5 6 7 $pseudo = $_POST['pseudo']; $password = $_POST['password']; // Pour le hachage du mot de passe $password = password_hash($password, PASSWORD_BCRYPT); $sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo' AND password=$password";
Code:

1 2 3 <br /> <b>Warning</b>: pg_query(): Query failed: ERREUR: erreur de syntaxe sur ou près de « y$10$evGK9UcOel55m5H8XzwHGu7wJdINq5z9ve54PtWIcFENkJAAujze2 » LINE 1: ..."Utilisateurs" WHERE pseudo='omar' AND password=$2y$10$evGK9...
cas2:

Code:

$sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo' AND password='$password'";

le code qui vérifie le mot de passe m'affiche un message d'erreur dans le mot de passe.
et la réponse dans l'inspecteur : null

où se trouve ma faute ?
et comment savoir que l'exécution de cette fonction est réussie?

merci d'avance

21/12/2016, 15h42
sabotage

Les données POST ne sont pas dans l'URL donc je ne vois pas de quoi tu parles.

Ton but est de vérifier un mot de passe qui a été hashé avec password_hash avant insertion en base, c'est bien ça ? Le principe de password_hash est de ne pas retourner le même hash pour une même chaine
:arrow: Mots de passe sécurisés avec PHP 5.5

Il faut donc que tu utilises password_verify. Pour cela, on procède en deux étapes :
Tu vas chercher les informations de ton utilisateur à partir du pseudo uniquement.
Puis tu compares le mot de passe en base et le mot de passe tapé via password_verify:
Code:

1 2 3 4 5 6 7 8 9 10 $sql = "SELECT * FROM benmed.\"Utilisateurs\" WHERE pseudo='$pseudo'"; // on récupère les infos en base // (...) $passwordBdd = $result['password']; if (password_verify($_POST['password'], $passwordBdd)) { echo 'youpi !'; } else { echo 'oups ! Mauvais mot de passe'; }

21/12/2016, 15h53
noramokh

Est ce que avec POST, je n'ai pas besoin d'hashage de mot de passe?

à celira,

le résultat après l'intégration de ton code était: oups ! Mauvais mot de passe{"id_utilisateur":"1","pse.....}
21/12/2016, 16h45
Invité

Bonjour,

Les mots de passe doivent être hashés avant de les enregistrer en BDD.
21/12/2016, 17h35
Celira

Pour compléter la remarque de jreaux et répondre à ta question :
Tu utilises password_hash sur le mot de passe avant l'insertion en base
Tu utilises password_verifiy pour comparer le mot de passe hashé stocké en base et le mot de passe tapé. Lorsque tu fais la vérification, tu n'appliques pas password_hash sur le mot de passe tapé.

C'est bien ce que tu fais ?
22/12/2016, 09h03
noramokh

Bonjour,

merci à vos réponses

si j'ai bien compris vos explication:

dans ma base de données, j'ai une table s'appelle "utilisateur" où les informations comme "pseudo", "password", "email",.. sont déja saisis dans cette table.

alors dans mon cas, je ne peux pas utiliser password_hash. Est ce que la méthode POST suffisante pour maquer le mot de passe?

et comment peut on utiliser cette fonction avant saisir les données ?
22/12/2016, 09h13
Invité
Bonjour,

donne des explications PRECISES.

Tes mots de passe enregistrés en base de données sont :
- "en clair" (lisibles)
- ou "hashés" ?
1/ Si il sont "en clair", alors c'est la mauvaise méthode.
2 cas :

1a/ tu laisses comme ça (mots de passe "en clair" en BdD)
auquel cas, inutile de chercher à "cacher" le mot de passe lors de la connexion de l'utilisateur.

1b/ tu corriges en BdD (= SECURITE des mots de passe EN BDD)
Il faut hasher les mots de passe DANS la BdD, car c'est là qu'il faut les protéger.
Un update des lignes de la table est nécessaire, avec utilisation de la fonction password_hash().

2/ Si ils sont déjà "hashés", alors c'est la méthode décrite par Celira qui convient.
22/12/2016, 09h35
noramokh

en fait, mon cas est la première.

merci beaucoup jreaux62, une bonne et claire explication.
22/12/2016, 10h23
Celira

Pour compléter la réponse : la méthode $_POST ne masque rien du tout. La seule différence entre POST et GET est que GET met les informations directement dans l'URL alors que POST les met dans le corps de la requête.

Demander si la méthode POST masque mieux le mot de passe que la méthode GET revient à demander si pour donner ton mot de passe à quelqu'un qui va le taper à ta place, il vaut mieux l'écrire sur un post-it ou le dicter à haute voix.