erreur d'acces DB pour un select - Version imprimable +- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org) +-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38) +--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51) +--- Sujet : erreur d'acces DB pour un select (/showthread.php?tid=4045) |
RE: erreur d'acces DB pour un select - Sephi-Chan - 12-09-2010 Si vous stockez le hash du mot de passe, il faut que ce hash soit salé, sinon c'est trop vulnérable aux attaques par rainbow table. Mieux vaut stocker un token (également stocké dans la table des utilisateurs) et rechercher l'utilisateur courant par ce token. Cd. Authologic sur GitHub. RE: erreur d'acces DB pour un select - php_addict - 12-09-2010 (12-09-2010, 12:44 PM)Sephi-Chan a écrit : Si vous stockez le hash du mot de passe, il faut que ce hash soit salé je me permet de rajouter ceci: http://lmgtfy.com/?q=grain+de+sel+mot+de+passe sinon un mot de passe salé ce peut être indigeste dit comme ca RE: erreur d'acces DB pour un select - atra27 - 12-09-2010 whatabout: $hash=md5(md5($motdepasse)); Je l'utilise pas mais je viens de penser a ça en lisant l'article... RE: erreur d'acces DB pour un select - srm - 12-09-2010 Car le gars peut y penser, le grain de sel il ne peut pas le trouver, c'est comme un mot de passe. Tu mets 3jIJEI3JOAKOMLJKNKJLlkjkljioJ4J23LK500kfklwxcjkl0 comme grain de sel et voilà RE: erreur d'acces DB pour un select - atra27 - 12-09-2010 ou alors: md5($password.$pseudo); RE: erreur d'acces DB pour un select - niahoo - 12-09-2010 mea culpa oxman, je n'avais pas pensé au sel, et dans ce cas là effectivement je me permettrais de stocker le mot de passe en cookie. Mais dans tous les cas, je préfère stocker une clé côté client et en DB. à chaque connexion au site, je génère une nouvelle clé. (mais pas à chaque requete hein, bien sur. pour une session une fois que la nouvelle clé est stockée, je mets un truc du genre $_SESSION['keygenerated'] = true) Comme ça, même si l'utilisateur se fait voler un cookie, à sa prochaine connexion, il devra entrer à nouveau ses identifiants, et à partir de ce moment là, le cookie qui lui avait été volé ne sera plus valide. Bon, je dis ça, je n'ai encore rien mis en place de tout cela, je me contente de bosser sur le jeu en lui-même, pour l'instant personne ne peut s'y connecter. RE: erreur d'acces DB pour un select - gameprog2 - 12-09-2010 Mais ne peut-on pas effacer le cookie contenant le login juste après le logue ? ça éviterait que le joueur se fasse voler le cookie non ? RE: erreur d'acces DB pour un select - niahoo - 12-09-2010 ben si, tu peux, mais comment tu décides à quel moment tu lui donnes un nouveau cookie pour la prochaine connexion ? RE: erreur d'acces DB pour un select - gameprog2 - 12-09-2010 quelle prochaine connection ? il est connecté, il joue et c'est tout, et la prochaine fois qu'il revient dans le jeu, il retape son login et mot de passe. non ? En fait je vois pas à quoi sert le cookie ?(dans ce cas) RE: erreur d'acces DB pour un select - Sephi-Chan - 12-09-2010 Tu ne remarques pas que sur beaucoup de sites, tu n'as pas besoin de te reconnecter ? C'est grâce à un cookie stocké sur ton ordinateur et qui permet au site qui te l'a envoyé de te reconnaître. Sephi-Chan |