Accès sécurisé

Résolu
vxr888 Messages postés 85 Date d'inscription mardi 23 mars 2004 Statut Membre Dernière intervention 27 novembre 2010 - 15 avril 2008 à 14:26
malalam Messages postés 10839 Date d'inscription lundi 24 février 2003 Statut Membre Dernière intervention 2 mars 2010 - 15 avril 2008 à 22:51
Bonjour,

Je suis entrain de créer un petit forum / système de login - password made in moi-même et pour sécuriser les mots de passe je les crypte en md5 dans ma base de données.
Seulement voilà, pour accéder à ma base de données, j'utilise la ligne suivante :

mysql_connect ('localhost', 'password', '');

Et c'est là tout le problème !

A quoi bon crypter les mots de passes des utilisateurs si le mot de passe de la base de données est en clair dans le code ?!!!!!

Autrement dit et voilà toute la raison de ce topic :

Peut-on contourner ce problème ?

Merci de prendre le temps de me lire et de me répondre,

J'attends impatiemment vos réponses,

A bientôt,

VXR888.

7 réponses

TheGorgo Messages postés 224 Date d'inscription mercredi 23 mai 2007 Statut Membre Dernière intervention 8 septembre 2014 1
15 avril 2008 à 16:04
l'interet c'est que certains utilisateurs utiliseront le meme mot de pass et login que sur leur compte hotmail ou autre.
ce qui fait que toi avec les deux tu peux avoir acces a leurs données
3
TheGorgo Messages postés 224 Date d'inscription mercredi 23 mai 2007 Statut Membre Dernière intervention 8 septembre 2014 1
15 avril 2008 à 15:17
salut

en fait le mot de passe n'est pas en clair dans le code car comme tu le sais le php est interpreté par le serveur.
De toute facon la plus part des serveur de bdd n'autorisent pas les connexions sur la bdd a partir d'un serveur distant. Ce qui veut dire en clair que meme si j'arrive je ne sais par quel hasard à recuperer ton mot de passe de bdd, je ne pourrais pas m'y connecter sauf si je le fais à partir de ton serveur, ce qui est si tu as bien géré tres peu probable.

l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.
0
vxr888 Messages postés 85 Date d'inscription mardi 23 mars 2004 Statut Membre Dernière intervention 27 novembre 2010
15 avril 2008 à 15:59
>  l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.

M'empêcher d'y avoir accès ?
A quoi ça sert ?
Si je veux m'empêcher d'y avoir accès j'ai qu'à ne pas y accéder et si je suis mal intentionné, j'ai qu'à copier le md5 de ma base de données dans un fichier php où je réalise un test if le md5 que je recopie au clavier = $password de la base de données, access granted...

non ?
0
vxr888 Messages postés 85 Date d'inscription mardi 23 mars 2004 Statut Membre Dernière intervention 27 novembre 2010
15 avril 2008 à 16:06
OK d'accord, c'est vrai que je pense pas à tous ces détails !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
malalam Messages postés 10839 Date d'inscription lundi 24 février 2003 Statut Membre Dernière intervention 2 mars 2010 25
15 avril 2008 à 22:36
Hello,

il y a deux choses distinctes là : le mot de passe d'accès à la base, et le mot de passe des utilisateurs de ton site.
Pour qu'un mec voit ton lot de passe de connexion à ta base, il faut qu'il ait accès aux fichiers PHP de ton serveur web...si c'est le cas, le cadet de tes soucis est bien ta base : le mec fera ce qu'il veut sur ton serveur web aussi. En gros, tu es mort. Même si ton mot de passe était crypté dans ton code, ça ne changerait pas grand chose pour toi : ton applicatif web serait à sa merci, en même temps que ton serveur.

Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur.
0
TheGorgo Messages postés 224 Date d'inscription mercredi 23 mai 2007 Statut Membre Dernière intervention 8 septembre 2014 1
15 avril 2008 à 22:45
"Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur. "

ca c'est en theorie parce que sur certains sites lorsque l'on oublie son mot de passe, au lieu de vous proposer de le changer, ils vous le renvoie en clair dans un email. Et personnellement, je ne connais pas de fonction qui décrypte du md5.
0
malalam Messages postés 10839 Date d'inscription lundi 24 février 2003 Statut Membre Dernière intervention 2 mars 2010 25
15 avril 2008 à 22:51
J'ai pas dit que tous les sites le faisaient : j'ai dit "c'est interdit", nuances.
Moi, mes sites génèrent un nouveau mot de passe dans ces cas-là.
Et on peut toujours crypter les mots de passe au lieu de les "hasher". On n'y a pas accès directement en matant la base, je pense que ça reste respectueux. Et donc les décrypter ensuite pour les renvoyer.
0