Accès sécuriséRésolu

Question

Bonjour,

Je suis entrain de créer un petit forum / système de login - password made in moi-même et pour sécuriser les mots de passe je les crypte en md5 dans ma base de données.
Seulement voilà, pour accéder à ma base de données, j'utilise la ligne suivante :

mysql_connect ('localhost', 'password', '');

Et c'est là tout le problème !

A quoi bon crypter les mots de passes des utilisateurs si le mot de passe de la base de données est en clair dans le code ?!!!!!

Autrement dit et voilà toute la raison de ce topic : 

Peut-on contourner ce problème ?

Merci de prendre le temps de me lire et de me répondre,

J'attends impatiemment vos réponses,

A bientôt,

VXR888.

Utilisateur anonyme · Accepted Answer

l'interet c'est que certains utilisateurs utiliseront le meme mot de pass et login que sur leur compte hotmail ou autre.
ce qui fait que toi avec les deux tu peux avoir acces a leurs données

Utilisateur anonyme · Answer

salut

en fait le mot de passe n'est pas en clair dans le code car comme tu le sais le php est interpreté par le serveur.
De toute facon la plus part des serveur de bdd n'autorisent pas les connexions sur la bdd a partir d'un serveur distant. Ce qui veut dire en clair que meme si j'arrive je ne sais par quel hasard à recuperer ton mot de passe de bdd, je ne pourrais pas m'y connecter sauf si je le fais à partir de ton serveur, ce qui est si tu as bien géré tres peu probable.

l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.

vxr888 · Answer

>  l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.

M'empêcher d'y avoir accès ?
A quoi ça sert ?
Si je veux m'empêcher d'y avoir accès j'ai qu'à ne pas y accéder et si je suis mal intentionné, j'ai qu'à copier le md5 de ma base de données dans un fichier php où je réalise un test if le md5 que je recopie au clavier = $password de la base de données, access granted...

non ?

vxr888 · Answer

OK d'accord, c'est vrai que je pense pas à tous ces détails !

malalam · Answer

Hello,

il y a deux choses distinctes là : le mot de passe d'accès à la base, et le mot de passe des utilisateurs de ton site.
Pour qu'un mec voit ton lot de passe de connexion à ta base, il faut qu'il ait accès aux fichiers PHP de ton serveur web...si c'est le cas, le cadet de tes soucis est bien ta base : le mec fera ce qu'il veut sur ton serveur web aussi. En gros, tu es mort. Même si ton mot de passe était crypté dans ton code, ça ne changerait pas grand chose pour toi : ton applicatif web serait à sa merci, en même temps que ton serveur.

Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur.

Utilisateur anonyme · Answer

"Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur. "

ca c'est en theorie parce que sur certains sites lorsque l'on oublie son mot de passe, au lieu de vous proposer de le changer, ils vous le renvoie en clair dans un email. Et personnellement, je ne connais pas de fonction qui décrypte du md5.

malalam · Answer

J'ai pas dit que tous les sites le faisaient : j'ai dit "c'est interdit", nuances.
Moi, mes sites génèrent un nouveau mot de passe dans ces cas-là.
Et on peut toujours crypter les mots de passe au lieu de les "hasher". On n'y a pas accès directement en matant la base, je pense que ça reste respectueux. Et donc les décrypter ensuite pour les renvoyer.

Accès sécurisé

7 réponses

Votre réponse

Discussions similaires