Auteur |
Message |
Webfab
Accro à Web-IG
Sexe:
Messages: 110
|
Posté le:
Lun 29 Mai 2006 - 15:36 |
|
Bonjour,
J'ai installé mysql sur debian et j'ai un petit soucis, en faite j'ai créé une page web d'authentification qui se connecte à la bdd pour aller chercher les login/mdp dans mysql.user (base.table). Pour la comparaison des login il n'y a pas de problème vu qu'il sont en clair, par contre le problème réside dans la comparaison du mot de passe en clair envoyé par le navigateur avec le mot de passe md5 de la bdd.
J'ai essayé la fonction md5() en php mais celle ci me renvoit une chaine cryptée plus grande que le mdp crypté de la bdd ??
Ca doit être tout con mais là je vois pas, les mdp de mysql sont bien en md5 pourtant ??
Merci ! |
|
|
|
|
N'oubliez pas de vous inscrire à la communauté pour participer. Si vous êtes déjà membre, connectez-vous pour faire disparaître ce bandeau publicitaire. |
Webfab
Accro à Web-IG
Sexe:
Messages: 110
|
Posté le:
Lun 29 Mai 2006 - 15:41 |
|
Pour exemple, voilà ce que me donne ma page de test :
login : admin
pass : admin
md5 pass : 21232f297a57a5a743894a0e4a801fc3
md5 pass bdd : 43e9a4ab75570f5b |
|
|
|
|
selim
Forumeur occasionnel
Messages: 32
|
Posté le:
Lun 29 Mai 2006 - 16:01 |
|
Non ce n'est pas du MD5, ni un format Unix, c'est propre à MySQL puisque c'est la fonction PASSWORD() qui encrypte les mots de passe! |
|
|
|
|
Webfab
Accro à Web-IG
Sexe:
Messages: 110
|
Posté le:
Lun 29 Mai 2006 - 16:13 |
|
Ok mais ya t-il un moyen de reproduire ce cryptage en php ?
Si vraiment je ne trouve pas j'inserai mes nouveaux utilisateurs avec un mdp en md5 mais bon...
Comment ça se passe avec phpmyadmin ?? |
|
|
|
|
selim
Forumeur occasionnel
Messages: 32
|
Posté le:
Mar 30 Mai 2006 - 10:56 |
|
Pas à ma connaissance!
C'est à dire pour PHPMyAdmin qu'est ce que tu veux savoir? Pour te connecter avec?
Tu dois normalement créer un utilisateur nommé "pma" dans la table user de la base mysql, tout ce que tu fera sous PHPMyAdmin sera exécuté par celui ci!
Et tu as le choix de choisir ton mode de connexion, automatique en renseignant un login et un mdp dans le fichier de config, par HTTP avec une fenetre de dialogue pour laisser le choix de se connecter avec plusieurs utilisateurs!
Au fait, t'es pas obligé d'encrypter tes mots de passe avec PASSWORD(), dans ma table user, j'ai un utilisateur avec un mot de passe encrypter avec PASSWORD() et un autre avec md5 il me semble, tu peux même le laisser en clair si tu veux. |
|
|
|
|
Webfab
Accro à Web-IG
Sexe:
Messages: 110
|
Posté le:
Mar 30 Mai 2006 - 12:55 |
|
selim a écrit: |
Pas à ma connaissance!
C'est à dire pour PHPMyAdmin qu'est ce que tu veux savoir? Pour te connecter avec?
|
Non en faite, comment lui fait pour identifier un user aui possède un mdp crypté avec password()
Citation: |
Tu dois normalement créer un utilisateur nommé "pma" dans la table user de la base mysql, tout ce que tu fera sous PHPMyAdmin sera exécuté par celui ci!
Et tu as le choix de choisir ton mode de connexion, automatique en renseignant un login et un mdp dans le fichier de config, par HTTP avec une fenetre de dialogue pour laisser le choix de se connecter avec plusieurs utilisateurs!
|
ok
Citation: |
Au fait, t'es pas obligé d'encrypter tes mots de passe avec PASSWORD(), dans ma table user, j'ai un utilisateur avec un mot de passe encrypter avec PASSWORD() et un autre avec md5 il me semble, tu peux même le laisser en clair si tu veux. |
C'est d'ailleurs la solution que j'ai prise vu que je ne peux faire autrement.
Ce qui se passe en ce moment c'est que lorsque j'attribue des droits à un user je dois ensuite faire un update sur le password... mais bon je vais faire avec.
Merci |
|
|
|
|
kwal
Accro à Web-IG
Sexe:
Messages: 159
Localisation: Biarritz (64)
|
Posté le:
Mar 30 Mai 2006 - 19:47 |
|
excusez moi si jai rien compris mais jai passé mes pti aujourd'hui...
alors es tu sur davoir mi un varchar suffisament long pour contenir ta chaine md5 ? (javais eu un soucis comme ça...) et la fonction md5() existe bien en php... |
|
|
|
|
Webfab
Accro à Web-IG
Sexe:
Messages: 110
|
Posté le:
Mer 31 Mai 2006 - 00:12 |
|
C'est pas une histoire de longueur car en regardant mon deuxième post il n'y a rien qui concorde entre le mdp de mysql et celui donné par md5($mdp)
Mais c'est toujours bon à savoir merci |
|
|
|
|
selim
Forumeur occasionnel
Messages: 32
|
Posté le:
Mer 31 Mai 2006 - 12:29 |
|
Webfab a écrit: |
C'est pas une histoire de longueur car en regardant mon deuxième post il n'y a rien qui concorde entre le mdp de mysql et celui donné par md5($mdp)
Mais c'est toujours bon à savoir merci |
En effet, même si ce n'est pas le cas ici, il faut un champs VARCHAR (32) pour contenir une checksum md5. |
|
|
|
|
zowix
Accro à Web-IG
Sexe:
Messages: 176
Localisation: Grenoble - entre une chaise et un clavier
|
Posté le:
Mer 04 Oct 2006 - 12:12 |
|
salut
1: modifie le script php, pour qu'il encode ton pass en md5 et le stocke en string dans ta bdd (pas d'encodage mysql)
2: à l'authentification, en php tu md5-ize le mdp et tu le compare à celui de la bdd. |
_________________
acer aspire 5101 awlmi x56 monté à 1GO... ça tourne!
membre à l'essai du staff www.grenoble2night.com (zowix)
jeudi: bars / vendredi: liquid / samedi: scotch |
|
|
|
Vincent
Webmaster
Sexe:
Messages: 5584
Localisation: Montpellier
|
Posté le:
Mer 04 Oct 2006 - 13:35 |
|
zowix a écrit: |
salut
1: modifie le script php, pour qu'il encode ton pass en md5 et le stocke en string dans ta bdd (pas d'encodage mysql)
2: à l'authentification, en php tu md5-ize le mdp et tu le compare à celui de la bdd. |
C'est exactement ce que je fais sur mes sites et ca fonctionne très bien. |
_________________ Hey les amis, pensez à suivre @webig sur Twitter, et pourquoi pas me suivre moi @cybervince |
|
|
|
zowix
Accro à Web-IG
Sexe:
Messages: 176
Localisation: Grenoble - entre une chaise et un clavier
|
Posté le:
Mer 04 Oct 2006 - 22:50 |
|
comme quoi je suis pas que con mdr |
_________________
acer aspire 5101 awlmi x56 monté à 1GO... ça tourne!
membre à l'essai du staff www.grenoble2night.com (zowix)
jeudi: bars / vendredi: liquid / samedi: scotch |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
Posté le:
Mer 04 Oct 2006 - 23:02 |
|
Bah c'est comme ça qu'on devrais faire ... Sauf cas vraiment particulier on ne doit garder qu'un hash du pass ... |
|
|
|
|
Mingain
Accro à Web-IG
Sexe:
Messages: 185
Localisation: Nîmes
|
Posté le:
Jeu 05 Oct 2006 - 19:31 |
|
Ben c'est déjà qu'au moins tu vois pas le pass de tes membres si tu jette un oeil au contenu de la bdd (au cas où l'un d'eux utilise le même mdp partout :-s ... ).
Bref, je pense que la technique avec le md5 doit être la meilleure puisque c'est celle utilisée sur les phpBB |
_________________ www.en-camargue.fr : Tourisme et photos en camargue
www.vauclare.fr : Creation de site Web sur mesure dans le gard |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
Posté le:
Jeu 05 Oct 2006 - 19:48 |
|
Mingain a écrit: |
Ben c'est déjà qu'au moins tu vois pas le pass de tes membres si tu jette un oeil au contenu de la bdd (au cas où l'un d'eux utilise le même mdp partout :-s ... ). |
Déja un administrateur n'a jamais à connaitre la pass d'un utilisateur. Et en plus il en a pas besoin puisqu'il a les droits d'administration ...
On peut aussi penser que si pour une raison X ou Y, quelqu'un arrive à voir le contenu de la base (par injection SQL par exemple), il pourra rien faire du hash. |
|
|
|
|
Vincent
Webmaster
Sexe:
Messages: 5584
Localisation: Montpellier
|
Posté le:
Jeu 05 Oct 2006 - 19:52 |
|
Zonag a écrit: |
il pourra rien faire du hash. |
A part du brute force.
Tu donne un hash à manger à un JCL sous MVS, ca te trouve le mot de passe en pas beaucoup de temps. |
_________________ Hey les amis, pensez à suivre @webig sur Twitter, et pourquoi pas me suivre moi @cybervince |
|
|
|
Zonag
Modérateur
Sexe:
Messages: 1298
Localisation: Toulouse
|
Posté le:
Jeu 05 Oct 2006 - 20:18 |
|
Vincent a écrit: |
Zonag a écrit: |
il pourra rien faire du hash. |
A part du brute force.
Tu donne un hash à manger à un JCL sous MVS, ca te trouve le mot de passe en pas beaucoup de temps. |
Ca c'est sur mais bon ... Déja avec un bon mot de passe (suffisamment complexe) tu rend la tache plus difficile. |
|
|
|
|
|