JeuWeb - Crée ton jeu par navigateur

JeuWeb - Crée ton jeu par navigateur > Discussions, Aide, Ressources... > Programmation, infrastructure > erreur d'acces DB pour un select
Version complète : erreur d'acces DB pour un select
Vous consultez actuellement la version basse qualité d’un document. Voir la version complète avec le bon formatage.
Pages : 1 2 3 4 5

Sephi-Chan

12-09-2010, 12:44 PM
Si vous stockez le hash du mot de passe, il faut que ce hash soit salé, sinon c'est trop vulnérable aux attaques par rainbow table.
Mieux vaut stocker un token (également stocké dans la table des utilisateurs) et rechercher l'utilisateur courant par ce token.

Cd. Authologic sur GitHub.

php_addict

12-09-2010, 02:58 PM
(12-09-2010, 12:44 PM)Sephi-Chan a écrit : [ -> ]Si vous stockez le hash du mot de passe, il faut que ce hash soit salé

je me permet de rajouter ceci: http://lmgtfy.com/?q=grain+de+sel+mot+de+passe sinon un mot de passe salé ce peut être indigeste dit comme ca Wink

atra27

12-09-2010, 03:24 PM
whatabout:
$hash=md5(md5($motdepasse));

Je l'utilise pas mais je viens de penser a ça en lisant l'article...

srm

12-09-2010, 03:26 PM
Car le gars peut y penser, le grain de sel il ne peut pas le trouver, c'est comme un mot de passe.
Tu mets 3jIJEI3JOAKOMLJKNKJLlkjkljioJ4J23LK500kfklwxcjkl0 comme grain de sel et voilà Smile

atra27

12-09-2010, 03:33 PM
ou alors:
md5($password.$pseudo);

niahoo

12-09-2010, 03:38 PM
mea culpa oxman, je n'avais pas pensé au sel, et dans ce cas là effectivement je me permettrais de stocker le mot de passe en cookie.

Mais dans tous les cas, je préfère stocker une clé côté client et en DB. à chaque connexion au site, je génère une nouvelle clé.

(mais pas à chaque requete hein, bien sur. pour une session une fois que la nouvelle clé est stockée, je mets un truc du genre $_SESSION['keygenerated'] = true)

Comme ça, même si l'utilisateur se fait voler un cookie, à sa prochaine connexion, il devra entrer à nouveau ses identifiants, et à partir de ce moment là, le cookie qui lui avait été volé ne sera plus valide.

Bon, je dis ça, je n'ai encore rien mis en place de tout cela, je me contente de bosser sur le jeu en lui-même, pour l'instant personne ne peut s'y connecter.

gameprog2

12-09-2010, 04:17 PM
Mais ne peut-on pas effacer le cookie contenant le login juste après le logue ? ça éviterait que le joueur se fasse voler le cookie non ?

niahoo

12-09-2010, 04:38 PM
ben si, tu peux, mais comment tu décides à quel moment tu lui donnes un nouveau cookie pour la prochaine connexion ?

gameprog2

12-09-2010, 04:52 PM
quelle prochaine connection ? il est connecté, il joue et c'est tout, et la prochaine fois qu'il revient dans le jeu, il retape son login et mot de passe.
non ?

En fait je vois pas à quoi sert le cookie ?(dans ce cas)

Sephi-Chan

12-09-2010, 05:24 PM
Tu ne remarques pas que sur beaucoup de sites, tu n'as pas besoin de te reconnecter ? C'est grâce à un cookie stocké sur ton ordinateur et qui permet au site qui te l'a envoyé de te reconnaître.


Sephi-Chan
Pages : 1 2 3 4 5
JeuWeb - Crée ton jeu par navigateur > Discussions, Aide, Ressources... > Programmation, infrastructure > erreur d'acces DB pour un select