+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Connexion (/showthread.php?tid=5182)
RE: Connexion - My Airport - 19-01-2011
(19-01-2011, 03:30 PM)Jeckel a écrit : Essaie déjà sans le mot de passe, juste en vérifiant le login... histoire d'être sûr que le problème ne vient pas du Hash...
Entre parenthèse le MD5 te génère une chaine "sûr", un mysql_escape_string dessus n'est pas spécialement utile (mais normalement ça ne devrait pas causer de problèmes)
Cela marche . Il m'affiche qu'un des champs est vide
RE: Connexion - Viciousity - 19-01-2011
Ben personnelement j'utilise cela:
def has_correct_password? submitted_password
password_hash == encrypt(password_salt, submitted_password)
end
def secure_account password
self.password_salt = encrypt(Time.now,password) unless password_salt
self.password_hash = encrypt(password_salt, password)
end
private
def encrypt string1, string2
require 'digest'
Digest::SHA256.hexdigest("#{string1}::#{string2}")
end
En PHP sa devrait donner sa je pense
function encrypt(string1,string2){
return md5("'.$string1.'::'.$string2.'");
}
password_salt = encrypt(time(),$_POST['pass']);
password_hash = encrypt(password_salt,$_POST['pass']);
function has_correct_password(user_login,password){
user = "SQL pour le récupérer avec login";
if (!empty(user) || isset(user)){
if (user['password_hash'] == encrypt(user['password_salt'], password)){ return true; }
else { return false; }
}
else { return false; }
}
// Pour vérifier un membre:
if(has_correct_password("Lambda","motdepasse")){
SESSION REGISTER
}
)Cela te permet de créer une clé de décryptage unique par membre et donc d'augmenter grandement la sécurité de ton script
Pour ce faire ta table user au mieux de contenir pass_md5 doit contenir deux nouvea champs: password_salt, password_hash
PS: Etant rubyste mon code PHP est ptet bancal mais l'habitude de l'objet :S
RE: Connexion - Ter Rowan - 19-01-2011
(19-01-2011, 06:48 PM)Viciousity a écrit : Ruby plus dur ??? (joke a part
joke à part, tu compares un code ruby où il manque un paquet de code (définitions des données de l'objet etc...) à du pseudo code procédural php où il manque la moitié des éléments pour que cela marche
grosso modo,je suis rubyiste, je ne peux pas copier coller et tester
je suis php iste, je ne peux pas copier coller et tester
c'est donc impossible de comparer d'une manière ou d'une autre.
Maintenant l'exemple me parle pour comprendre la notion de grain de sel, mais parce que je fais l'effort d'imaginer ce que tu as voulu dire, ça ne coule pas tant de source que cela. Je pense qu'il faudrait proposer un code complet et testé pour ce genre de sujet
RE: Connexion - Viciousity - 19-01-2011
Oh c'était juste une petite boutade pour le ruby hein ;p
Pour sa que j'ai mis une version PHP sans objet dedans pour aider :S
Mais s ane me dérange pas de créer un topic pour expliquer la notion du "Salt".
Car selon moi, avant de se lancer dans ce qui est fonctionnalités, la sécurité des infos sensibles est primordial
RE: Connexion - zneman - 19-01-2011
Je suis entièrement d'accord sur l'insuffisance du MD5 =)
Le "grain" de sel est une très bonne méthode en effet
Sinon, pour ce qui est de la structure du code, même si cela ne répond pas à la question posée:
je te conseil de t'orienter vers une programmation objet et l'utilisation d'un MVC ! Le procédural c'est facile à mettre en place mais tu vas voir qu'au bout de 2 mois que ton jeu sera ouvert, tu vas devoir tout refaire pour y ajouter de nouveaux modules, ce n'est pas gérable !
RE: Connexion - niahoo - 19-01-2011
bizzare de stocker la salt de chaque user dans la table utilisateur.. autant pas se faire ch**ier à en mettre une.
RE: Connexion - atra27 - 19-01-2011
Sinon on stocke pas de mdp mais juste un hash md5 de pseudo+password+sel
comme sa c'est plus dur pour quelqu'un de trouver le mot de passe...
On stocke a coté le pseudo bien sur
RE: Connexion - Viciousity - 19-01-2011
Pour niahoo:
Et si car cela permet de ne stocker en aucun cas l'ombre du mot de passe d'origine et donc une impossibilité quasi totale de le décrypter sans avoir la clé pour le faire
qui ici est en l'occurence ("'.string1'."::'.string2.'") mais qui aurrait pu etre ("'.string1'.":??MYKEYGEN??:'.string2.'")
Pour atra27:
On est obligé de stocker le salt car il varie selon un paramètre aléatoire: ici le temps (time()
.Du coup, le salt de chaque utilisateur est vraiment unique et permet de décrypter son mot de passe sans en conserver aucune trace nette.
RE: Connexion - niahoo - 19-01-2011
Ouais sauf que si tu stocke la salt dans ta table user, alors le pirate à la salt et donc c'est quasiment comme si tu n'en mettais pas non ?
RE: Connexion - Viciousity - 19-01-2011
Non car ta méthode de cryptage est unique vu qu'elle est contenue dans une fonction encrypt(); que tu as au prélablement définie ...