A propos de EncryptByPassPhrase

Version imprimable

Bonjour.

Voici une question un peu bête mais j'utilise donc EncryptByPassPhrase pour crypter le contenu d'une textox de type password en ASP.NeT dont voici la syntaxe sous SQL Server 2008 Express :
Code:

1 2 3 4 5 6 DECLARE @PassPhrase nvarchar(50) SET @PassPhrase = N'test' DECLARE @EncryptedPassword varbinary(256) SET @EncryptedPassword = EncryptByPassPhrase(@PassPhrase , N'123456789', NULL)
J'utilise donc un mot clef "test" pour crypter le contenu "123456789".

Vous noterez que les "N" juste avant le passphrase et le mot de passe servent à indiquer que le texte est en caractères unicode.

Quant je veux récupérer le contenu de ma colonne "MotDePasse" par DecryptByPassPhrase, jusque là, pas de soucis, cela fonctionne bien.

Mon souci, c'est que quand je souhaite intégrer ce code à l'intérieur d'une procédure stockée, je récupère le mot de passe en paramètre, et pas moyen de mettre le N pour le unicode devant. Et si je ne met pas ce N devant le mot de passe, le decryptage ne se fait pas correctement...

Exemple :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 ALTER PROCEDURE dbo.blablabla @MotDePasse varchar(50) AS BEGIN SET NOCOUNT ON DECLARE @PassPhrase nvarchar(50) SET @PassPhrase = N'cow' DECLARE @EncryptedPassword varbinary(256) SET @EncryptedPassword = EncryptByPassPhrase(@PassPhrase , @MotDePasse, NULL) RETURN END
Avec la variable @MotDePasse, donc, je ne sais pas appliquer le formatage unicode, je ne sais pas mettre ce : N devant

Merci pour l'aide

Re-Bonjour, j'ai réussi alors je post la solution :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
 
ALTER PROCEDURE blablabla
 
    @Login varchar(10),
    @MotDePasse varchar(50)
 
AS
    BEGIN
 
        SET NOCOUNT ON
 
            DECLARE @PassPhrase nvarchar(50)
            SET @PassPhrase = N'test'
 
            DECLARE @MotDePasseModifie nvarchar(50)
            SET @MotDePasseModifie = N''
            SELECT @MotDePasseModifie = @MotDePasseModifie + @MotDePasse
 
            DECLARE @EncryptedPassword varbinary(256)
            SET @EncryptedPassword = EncryptByPassPhrase(@PassPhrase , @MotDePasseModifie, NULL)
 
            INSERT INTO dbo.aspnet_Colocation (Colocation, MotDePasse)
                VALUES (@Colocation, @EncryptedPassword)
 
        RETURN
 
END

En clair il fallait créer une autre variable (@MotDePasseModifie) et appliquer le "N''" à l'intérieur et concaténer @MotDePasseModifie avec @MotDePasse.

@+

12/11/2008, 19h24
elsuket

Bonjour,

N'aurait-il pas été plus simple de spécifier votre paramètre @MotDePasse en NVARCHAR(50) et non pas VARCHAR(50) ?

@++ ;)
19/11/2008, 17h02
3KyNoX

Je n'avais pas fait la relation oO

Merci beaucoup :)

Bonjour,

Je relance un peu ce post car j'ai un petit souci. Je pense que mon problème vient du type ou de la taille de données mais je m'y perds un peu...

Voici ma procédure stockée qui met a jour le mot de passe d'un utilisateur.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
ALTER PROCEDURE [dbo].[UpdatePasswordForAgent]
	-- Add the parameters for the stored procedure here
	@IDAgent int,
	@Password nvarchar(50)
AS
BEGIN
	-- SET NOCOUNT ON added to prevent extra result sets from
	-- interfering with SELECT statements.
	SET NOCOUNT ON;
 
	-- les déclaration
	DECLARE @PassphraseEnteredByUser nvarchar(128);
	--DECLARE @MotDePasseModifie nvarchar(50);
	DECLARE @check int;
 
	--On va devoir crypter le mot de passe
 
	SET @PassphraseEnteredByUser = N'Cette phrase doit servir à crypter les données. 56xf$93';
	--SET @MotDePasseModifie = N'';
	--SET @MotDePasseModifie = @MotDePasseModifie + @Password
	SET  @Password = EncryptByPassPhrase(@PassphraseEnteredByUser,convert(varbinary,@Password), NULL);
 
	--On verifie si le compte existe
	SET @Check = (SELECT count(IDAgent) FROM Agent WHERE IDAgent=@IDAgent);
 
	IF (@Check = 1)
		BEGIN
			-- On met à jour le password
			UPDATE Agent
			SET
			Password = convert(varbinary,@Password)
			WHERE IDAgent=@IDAgent
			--On retourne 0 si tout est ok et 1 dans le cas contraire.
			IF (@@ROWCOUNT = 1)
				SELECT 0 as CodeRetour
			ELSE
				SELECT 1 as CodeRetour
		END	
	ELSE
		-- Le compte n'existe pas !
		SELECT 2 as CodeRetour
 
END

Le structure au niveau du mot de passe de la table Agent :

Password(varbinary(256), not null)

Mon souci, c'est quand je met plus de 3 caractères ça ne fonctionne plus.

J'ai bien le code retour 0 mais dans ma procédure stockée qui sert à décrypter n'y arrive pas. Quand j'ai 3 caractères tout va bien.

Voici la procédure de verif.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
ALTER PROCEDURE [dbo].[LoginAgent] 
	-- Add the parameters for the stored procedure here
	@login varchar(50),
	@password nvarchar(50)
AS
BEGIN
	-- SET NOCOUNT ON added to prevent extra result sets from
	-- interfering with SELECT statements.
	SET NOCOUNT ON;
 
	--Declaration
	DECLARE @PassphraseEnteredByUser nvarchar(128);
	DECLARE @PassDB varbinary(256);
	DECLARE	@PassDBDecrypt nvarchar(128);
 
	-- Set des différentes variable
	SET @PassphraseEnteredByUser='Cette phrase doit servir à crypter les données. 56xf$93';
	SET @PassDB = (SELECT Password FROM Agent WHERE login=@Login);
	SET @PassDBDecrypt = CONVERT(nvarchar,DecryptByPassphrase(@PassphraseEnteredByUser, @PassDB,null));
   	-- On contrôle si le mot de passe décrypté est équivalent au mot de passe renseigné
	IF (@PassDBDecrypt = @Password)
		BEGIN
			UPDATE Agent SET DernierConnexion =  getdate() WHERE login=@Login
			--On retourne 0 si tout est ok et 1 dans le cas contraire.
			IF (@@ROWCOUNT = 1)
				SELECT 0 as CodeRetour
			ELSE
				SELECT 1 as CodeRetour
		END
	ELSE
		IF(@login = (SELECT Login FROM Agent WHERE login=@Login))
			--Le mot de passe décrypté ne correspond pas au mot de passe renseigné
			SELECT 2 as CodeRetour,@PassDBDecrypt
		ELSE
			-- Le login ne correspond pas ! 
			SELECT 3 as CodeRetour
 
END

D'avance, merci pour votre aide.

30/11/2009, 11h23
elsuket
Bonjour,

Quel est l'intérêt de crypter les mots de passe ?
Si certains utilisateurs ne doivent pas les voir, il suffit de leur refuser le droit de lecture sur la colonne.

Pour votre UPDATE, si vous écriviez directement :
Code:

1 2 3 UPDATE Agent SET Password = @Password WHERE IDAgent=@IDAgent
A votre avis combien de lignes sont mises à jour si l'IDAgent que vous passez en paramètre n'existe pas ? Vous aurez un ROWCOUNT à 0 !
Je pense qu'il est possible dans le code de votre application de savoir si la requête s'est bien déroulée et combien de lignes ont été affectées ;)

@++ ;)