Gérer le forum:  Aide  •  Rechercher  •  Liste des Membres  •  Groupes d'utilisateurs   •  S'enregistrer  •  Profil  •  Se connecter pour vérifier ses messages privés  •  Connexion 
 mysql et mot de passe md5 Voir le sujet suivant
Voir le sujet précédent
Poster un nouveau sujetRépondre au sujet
Auteur Message
Webfab
Accro à Web-IG
Accro à Web-IG


Post-BTS
Sexe: Sexe:Masculin
Messages: 110

MessagePosté le: Lun 29 Mai 2006 - 15:36 Répondre en citantRevenir en haut

Bonjour,

J'ai installé mysql sur debian et j'ai un petit soucis, en faite j'ai créé une page web d'authentification qui se connecte à la bdd pour aller chercher les login/mdp dans mysql.user (base.table). Pour la comparaison des login il n'y a pas de problème vu qu'il sont en clair, par contre le problème réside dans la comparaison du mot de passe en clair envoyé par le navigateur avec le mot de passe md5 de la bdd.
J'ai essayé la fonction md5() en php mais celle ci me renvoit une chaine cryptée plus grande que le mdp crypté de la bdd ??

Ca doit être tout con mais là je vois pas, les mdp de mysql sont bien en md5 pourtant ??

Merci !
Voir le profil de l'utilisateurEnvoyer un message privé

N'oubliez pas de vous inscrire à la communauté pour participer. Si vous êtes déjà membre, connectez-vous pour faire disparaître ce bandeau publicitaire.
Webfab
Accro à Web-IG
Accro à Web-IG


Post-BTS
Sexe: Sexe:Masculin
Messages: 110

MessagePosté le: Lun 29 Mai 2006 - 15:41 Répondre en citantRevenir en haut

Pour exemple, voilà ce que me donne ma page de test :

login : admin
pass : admin
md5 pass : 21232f297a57a5a743894a0e4a801fc3
md5 pass bdd : 43e9a4ab75570f5b
Voir le profil de l'utilisateurEnvoyer un message privé
selim
Forumeur occasionnel
Forumeur occasionnel


Post-BTS

Messages: 32

MessagePosté le: Lun 29 Mai 2006 - 16:01 Répondre en citantRevenir en haut

Non ce n'est pas du MD5, ni un format Unix, c'est propre à MySQL puisque c'est la fonction PASSWORD() qui encrypte les mots de passe!
Voir le profil de l'utilisateurEnvoyer un message privé
Webfab
Accro à Web-IG
Accro à Web-IG


Post-BTS
Sexe: Sexe:Masculin
Messages: 110

MessagePosté le: Lun 29 Mai 2006 - 16:13 Répondre en citantRevenir en haut

Ok mais ya t-il un moyen de reproduire ce cryptage en php ?

Si vraiment je ne trouve pas j'inserai mes nouveaux utilisateurs avec un mdp en md5 mais bon...
Comment ça se passe avec phpmyadmin ??
Voir le profil de l'utilisateurEnvoyer un message privé
selim
Forumeur occasionnel
Forumeur occasionnel


Post-BTS

Messages: 32

MessagePosté le: Mar 30 Mai 2006 - 10:56 Répondre en citantRevenir en haut

Pas à ma connaissance!
C'est à dire pour PHPMyAdmin qu'est ce que tu veux savoir? Pour te connecter avec?
Tu dois normalement créer un utilisateur nommé "pma" dans la table user de la base mysql, tout ce que tu fera sous PHPMyAdmin sera exécuté par celui ci!
Et tu as le choix de choisir ton mode de connexion, automatique en renseignant un login et un mdp dans le fichier de config, par HTTP avec une fenetre de dialogue pour laisser le choix de se connecter avec plusieurs utilisateurs!


Au fait, t'es pas obligé d'encrypter tes mots de passe avec PASSWORD(), dans ma table user, j'ai un utilisateur avec un mot de passe encrypter avec PASSWORD() et un autre avec md5 il me semble, tu peux même le laisser en clair si tu veux.
Voir le profil de l'utilisateurEnvoyer un message privé
Webfab
Accro à Web-IG
Accro à Web-IG


Post-BTS
Sexe: Sexe:Masculin
Messages: 110

MessagePosté le: Mar 30 Mai 2006 - 12:55 Répondre en citantRevenir en haut

selim a écrit:
Pas à ma connaissance!
C'est à dire pour PHPMyAdmin qu'est ce que tu veux savoir? Pour te connecter avec?

Non en faite, comment lui fait pour identifier un user aui possède un mdp crypté avec password()
Citation:

Tu dois normalement créer un utilisateur nommé "pma" dans la table user de la base mysql, tout ce que tu fera sous PHPMyAdmin sera exécuté par celui ci!
Et tu as le choix de choisir ton mode de connexion, automatique en renseignant un login et un mdp dans le fichier de config, par HTTP avec une fenetre de dialogue pour laisser le choix de se connecter avec plusieurs utilisateurs!

ok
Citation:


Au fait, t'es pas obligé d'encrypter tes mots de passe avec PASSWORD(), dans ma table user, j'ai un utilisateur avec un mot de passe encrypter avec PASSWORD() et un autre avec md5 il me semble, tu peux même le laisser en clair si tu veux.

C'est d'ailleurs la solution que j'ai prise vu que je ne peux faire autrement.

Ce qui se passe en ce moment c'est que lorsque j'attribue des droits à un user je dois ensuite faire un update sur le password... mais bon je vais faire avec.

Merci
Voir le profil de l'utilisateurEnvoyer un message privé
kwal
Accro à Web-IG
Accro à Web-IG


Licence Professionnelle
Sexe: Sexe:Masculin
Messages: 159
Localisation: Biarritz (64)

MessagePosté le: Mar 30 Mai 2006 - 19:47 Répondre en citantRevenir en haut

excusez moi si jai rien compris mais jai passé mes pti aujourd'hui...

alors es tu sur davoir mi un varchar suffisament long pour contenir ta chaine md5 ? (javais eu un soucis comme ça...) et la fonction md5() existe bien en php...
Voir le profil de l'utilisateurEnvoyer un message privé
Webfab
Accro à Web-IG
Accro à Web-IG


Post-BTS
Sexe: Sexe:Masculin
Messages: 110

MessagePosté le: Mer 31 Mai 2006 - 00:12 Répondre en citantRevenir en haut

C'est pas une histoire de longueur car en regardant mon deuxième post il n'y a rien qui concorde entre le mdp de mysql et celui donné par md5($mdp)
Mais c'est toujours bon à savoir merci
Voir le profil de l'utilisateurEnvoyer un message privé
selim
Forumeur occasionnel
Forumeur occasionnel


Post-BTS

Messages: 32

MessagePosté le: Mer 31 Mai 2006 - 12:29 Répondre en citantRevenir en haut

Webfab a écrit:
C'est pas une histoire de longueur car en regardant mon deuxième post il n'y a rien qui concorde entre le mdp de mysql et celui donné par md5($mdp)
Mais c'est toujours bon à savoir merci
En effet, même si ce n'est pas le cas ici, il faut un champs VARCHAR (32) pour contenir une checksum md5.
Voir le profil de l'utilisateurEnvoyer un message privé
zowix
Accro à Web-IG
Accro à Web-IG


BTS IG - Option développeur 2ème année
Sexe: Sexe:Masculin
Messages: 176
Localisation: Grenoble - entre une chaise et un clavier

MessagePosté le: Mer 04 Oct 2006 - 12:12 Répondre en citantRevenir en haut

salut
1: modifie le script php, pour qu'il encode ton pass en md5 et le stocke en string dans ta bdd (pas d'encodage mysql)
2: à l'authentification, en php tu md5-ize le mdp et tu le compare à celui de la bdd.

_________________
Image
acer aspire 5101 awlmi x56 monté à 1GO... ça tourne!
membre à l'essai du staff www.grenoble2night.com (zowix)
jeudi: bars / vendredi: liquid / samedi: scotch
Voir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteurMSN Messenger
Vincent
Webmaster
Webmaster


Post-BTS
Sexe: Sexe:Masculin
Messages: 5584
Localisation: Montpellier

MessagePosté le: Mer 04 Oct 2006 - 13:35 Répondre en citantRevenir en haut

zowix a écrit:
salut
1: modifie le script php, pour qu'il encode ton pass en md5 et le stocke en string dans ta bdd (pas d'encodage mysql)
2: à l'authentification, en php tu md5-ize le mdp et tu le compare à celui de la bdd.

C'est exactement ce que je fais sur mes sites et ca fonctionne très bien.

_________________
Hey les amis, pensez à suivre @webig sur Twitter, et pourquoi pas me suivre moi @cybervince Wink
Voir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteurMSN MessengerNuméro ICQ
zowix
Accro à Web-IG
Accro à Web-IG


BTS IG - Option développeur 2ème année
Sexe: Sexe:Masculin
Messages: 176
Localisation: Grenoble - entre une chaise et un clavier

MessagePosté le: Mer 04 Oct 2006 - 22:50 Répondre en citantRevenir en haut

comme quoi je suis pas que con mdr

_________________
Image
acer aspire 5101 awlmi x56 monté à 1GO... ça tourne!
membre à l'essai du staff www.grenoble2night.com (zowix)
jeudi: bars / vendredi: liquid / samedi: scotch
Voir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteurMSN Messenger
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Mer 04 Oct 2006 - 23:02 Répondre en citantRevenir en haut

Bah c'est comme ça qu'on devrais faire ... Sauf cas vraiment particulier on ne doit garder qu'un hash du pass ...
Voir le profil de l'utilisateurEnvoyer un message privé
Mingain
Accro à Web-IG
Accro à Web-IG



Sexe: Sexe:Masculin
Messages: 185
Localisation: Nîmes

MessagePosté le: Jeu 05 Oct 2006 - 19:31 Répondre en citantRevenir en haut

Ben c'est déjà qu'au moins tu vois pas le pass de tes membres si tu jette un oeil au contenu de la bdd (au cas où l'un d'eux utilise le même mdp partout :-s ... ).

Bref, je pense que la technique avec le md5 doit être la meilleure puisque c'est celle utilisée sur les phpBB Smile

_________________
www.en-camargue.fr : Tourisme et photos en camargue
www.vauclare.fr : Creation de site Web sur mesure dans le gard
Voir le profil de l'utilisateurEnvoyer un message privéEnvoyer l'e-mailAdresse AIMMSN Messenger
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Jeu 05 Oct 2006 - 19:48 Répondre en citantRevenir en haut

Mingain a écrit:
Ben c'est déjà qu'au moins tu vois pas le pass de tes membres si tu jette un oeil au contenu de la bdd (au cas où l'un d'eux utilise le même mdp partout :-s ... ).


Déja un administrateur n'a jamais à connaitre la pass d'un utilisateur. Et en plus il en a pas besoin puisqu'il a les droits d'administration ...

On peut aussi penser que si pour une raison X ou Y, quelqu'un arrive à voir le contenu de la base (par injection SQL par exemple), il pourra rien faire du hash. Smile
Voir le profil de l'utilisateurEnvoyer un message privé
Vincent
Webmaster
Webmaster


Post-BTS
Sexe: Sexe:Masculin
Messages: 5584
Localisation: Montpellier

MessagePosté le: Jeu 05 Oct 2006 - 19:52 Répondre en citantRevenir en haut

Zonag a écrit:
il pourra rien faire du hash. Smile

A part du brute force.
Tu donne un hash à manger à un JCL sous MVS, ca te trouve le mot de passe en pas beaucoup de temps.

_________________
Hey les amis, pensez à suivre @webig sur Twitter, et pourquoi pas me suivre moi @cybervince Wink
Voir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteurMSN MessengerNuméro ICQ
Zonag
Modérateur
Modérateur


BTS IG - Option réseau Diplômé
Sexe: Sexe:Masculin
Messages: 1298
Localisation: Toulouse

MessagePosté le: Jeu 05 Oct 2006 - 20:18 Répondre en citantRevenir en haut

Vincent a écrit:
Zonag a écrit:
il pourra rien faire du hash. Smile

A part du brute force.
Tu donne un hash à manger à un JCL sous MVS, ca te trouve le mot de passe en pas beaucoup de temps.


Ca c'est sur mais bon ... Déja avec un bon mot de passe (suffisamment complexe) tu rend la tache plus difficile.
Voir le profil de l'utilisateurEnvoyer un message privé
Montrer les messages depuis:      
Poster un nouveau sujetRépondre au sujet
 Sauter vers:   



Voir le sujet suivant
Voir le sujet précédent
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum