Accès sécurisé

[Résolu]
Signaler
Messages postés
85
Date d'inscription
mardi 23 mars 2004
Statut
Membre
Dernière intervention
27 novembre 2010
-
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
-
Bonjour,

Je suis entrain de créer un petit forum / système de login - password made in moi-même et pour sécuriser les mots de passe je les crypte en md5 dans ma base de données.
Seulement voilà, pour accéder à ma base de données, j'utilise la ligne suivante :

mysql_connect ('localhost', 'password', '');

Et c'est là tout le problème !

A quoi bon crypter les mots de passes des utilisateurs si le mot de passe de la base de données est en clair dans le code ?!!!!!

Autrement dit et voilà toute la raison de ce topic :

Peut-on contourner ce problème ?

Merci de prendre le temps de me lire et de me répondre,

J'attends impatiemment vos réponses,

A bientôt,

VXR888.

7 réponses

Messages postés
224
Date d'inscription
mercredi 23 mai 2007
Statut
Membre
Dernière intervention
8 septembre 2014
1
l'interet c'est que certains utilisateurs utiliseront le meme mot de pass et login que sur leur compte hotmail ou autre.
ce qui fait que toi avec les deux tu peux avoir acces a leurs données
Messages postés
224
Date d'inscription
mercredi 23 mai 2007
Statut
Membre
Dernière intervention
8 septembre 2014
1
salut

en fait le mot de passe n'est pas en clair dans le code car comme tu le sais le php est interpreté par le serveur.
De toute facon la plus part des serveur de bdd n'autorisent pas les connexions sur la bdd a partir d'un serveur distant. Ce qui veut dire en clair que meme si j'arrive je ne sais par quel hasard à recuperer ton mot de passe de bdd, je ne pourrais pas m'y connecter sauf si je le fais à partir de ton serveur, ce qui est si tu as bien géré tres peu probable.

l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.
Messages postés
85
Date d'inscription
mardi 23 mars 2004
Statut
Membre
Dernière intervention
27 novembre 2010

>  l'interet de crypter les mdp des utilisateurs c'est que toi tu ne puisse pas y avoir accés et n'importe qui d'autre non plus.

M'empêcher d'y avoir accès ?
A quoi ça sert ?
Si je veux m'empêcher d'y avoir accès j'ai qu'à ne pas y accéder et si je suis mal intentionné, j'ai qu'à copier le md5 de ma base de données dans un fichier php où je réalise un test if le md5 que je recopie au clavier = $password de la base de données, access granted...

non ?
Messages postés
85
Date d'inscription
mardi 23 mars 2004
Statut
Membre
Dernière intervention
27 novembre 2010

OK d'accord, c'est vrai que je pense pas à tous ces détails !
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
Hello,

il y a deux choses distinctes là : le mot de passe d'accès à la base, et le mot de passe des utilisateurs de ton site.
Pour qu'un mec voit ton lot de passe de connexion à ta base, il faut qu'il ait accès aux fichiers PHP de ton serveur web...si c'est le cas, le cadet de tes soucis est bien ta base : le mec fera ce qu'il veut sur ton serveur web aussi. En gros, tu es mort. Même si ton mot de passe était crypté dans ton code, ça ne changerait pas grand chose pour toi : ton applicatif web serait à sa merci, en même temps que ton serveur.

Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur.
Messages postés
224
Date d'inscription
mercredi 23 mai 2007
Statut
Membre
Dernière intervention
8 septembre 2014
1
"Pour le reste : en effet, il est de toute manière strictement interdit de stocker les mots de passe de tes utilisateurs en clair sur ton serveur. "

ca c'est en theorie parce que sur certains sites lorsque l'on oublie son mot de passe, au lieu de vous proposer de le changer, ils vous le renvoie en clair dans un email. Et personnellement, je ne connais pas de fonction qui décrypte du md5.
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
J'ai pas dit que tous les sites le faisaient : j'ai dit "c'est interdit", nuances.
Moi, mes sites génèrent un nouveau mot de passe dans ces cas-là.
Et on peut toujours crypter les mots de passe au lieu de les "hasher". On n'y a pas accès directement en matant la base, je pense que ça reste respectueux. Et donc les décrypter ensuite pour les renvoyer.