hashage de mot de passe

**vazer7070** · 12/05/2016, 09h32

Salut � tous^^

J'ouvre un autre petit topique car la, �a fait 2jours que je p�che sur un truc qui pour beaucoup serait un truc tout b�te ><
Dans mon site, il y a une faille de s�curit�, les mot de passe ne sont pas hash� dans la BDD, alors pour r�soudre le souci, je suis all� voir des tuto m'indiquant comment faire. Mais lorsque je hashe mes mot de passe, ils le sont bien dans la BDD dans le charabia voulu, mais par contre, je ne peux pas me connecter avec, le site ne reconnait pas le mot de passe.
Comment faire svp car c'est vraiment emb�tant la pour le coup, je ne peux pas passer outre cette s�curit� :-/.
je vous transmet mon register.php et mon login.php.

Merci d'avance de votre aide^^
Cordialement
Vazer7070

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
<?php
if (empty($_SESSION['id']))
{
	$error['username'] = FALSE;
	$error['password'] = FALSE;
	$error['email'] = FALSE;
	$error['captcha'] = FALSE;
	$error['rule'] = FALSE;
	$error['quest'] = FALSE;
	$error['repon'] = FALSE;
	$error['pseudo'] = FALSE;
 
	if(isset($_POST['send']) && secu($_POST['send']) == 'send')
	{
		$username = secu($_POST['username']);
		$password = ($_POST['password']);
		$password_conf = ($_POST['password_conf']);
		$email = secu($_POST['email']);
		$captcha = secu($_POST['captcha']);
		$question = secu($_POST['quest']);
		$reponse = secu($_POST['repon']);
		$pseudo = secu($_POST['pseudo']);
		$hash = password_hash($password,PASSWORD_BCRYPT) ;
 
		$register['username'] = FALSE;
		$register['password'] = FALSE;
		$register['email'] = FALSE;
		$register['captcha'] = FALSE;
		$register['rule'] = FALSE;
		$register['quest'] = FALSE;
		$register['repon'] = FALSE;
		$register['pseudo'] = FALSE;
 
		if(!empty($_POST['quest']) && strlen($_POST['quest']) > 6)
		{	$register['quest'] = TRUE;}
		else
		{	$error['quest'] = TRUE;
			$errQuest = "<span class=\"red\">Vous devez entrée une question de plus de 6 caractère.</span>\n";
		}
 
		if(!empty($_POST['repon']) && strlen($_POST['repon']) > 3)
		{	$register['repon'] = TRUE;}
		else
		{	$error['repon'] = TRUE;
			$errRepon = "<span class=\"red\">Vous devez entrée une question de plus de 3 caractère.</span>\n";
		}
 
		if(!empty($_POST['pseudo']) && strlen($_POST['pseudo']) > 3)
		{	if(how_db2('accounts', 'pseudo', $username) == 0)
			{	$register['pseudo'] = TRUE;
			}
			else
			{	$error['pseudo'] = TRUE;
				$errPseudo = "<span class=\"red\">Le pseudo est déjà utiliser</span>\n";
			}
		}
		else
		{	$error['pseudo'] = TRUE;
			$errPseudo = "<span class=\"red\">Aucun pseudo n'est indiquer</span>\n";
		}
 
		if(isset($_POST['username']) && secu($_POST['username']) != '')
		{
			if(how_db2('accounts', 'username', $username) == 0)
			{
				$register['username'] = TRUE;
			}
			else
			{
				$error['username'] = TRUE;
				$errUser = "<span class=\"red\">Le Nom de compte est déjà utiliser</span>\n";
			}
		}
		else
		{
			$error['username'] = TRUE;
			$errUser = "<span class=\"red\">Aucun Nom de compte n'est indiquer</span>\n";
		}
 
		if(isset($_POST['password']) && secu($_POST['password']) != '' && isset($_POST['password_conf']) && secu($_POST['password_conf']) != '')
		{
			if($password == $password_conf)
			{
				$register['password'] = TRUE;
			}
			else
			{
				$error['password'] = TRUE;
				$errPass = "<span class=\"red\">Les Mots de passes ne sont pas identiques</span>\n";
			}
		}
		else
		{
			$error['password'] = TRUE;
			$errPass = "<span class=\"red\">Aucun Mots de passes ne sont indiquer</span>\n";
		}
 
		if(isset($_POST['email']) && secu($_POST['email']) != '')
		{
			if(preg_match("/^[a-z0-9\-_.]+@[a-z0-9\-_.]+\.[a-z]{2,3}$/i",$email))
			{
				$register['email'] = TRUE;
			}
			else
			{
				$error['email'] = TRUE;
				$errMail = "<span class=\"red\">L'Adresses E-Mail n'est pas valide</span>\n";
			}
		}
		else
		{
			$error['email'] = TRUE;
			$errMail = "<span class=\"red\">Aucune Adresses E-Mail n'est indiquer</span>\n";
		}
 
		if(isset($_POST['captcha']) && secu($_POST['captcha']) != '')
		{
			if(strtoupper($captcha) == $_SESSION['captcha'])
			{
				$register['captcha'] = TRUE;
			}
			else
			{
				$error['captcha'] = TRUE;
				$errCode = "<span class=\"red\">Le Code de sécurité n'est pas valide</span>\n";
			}
		}
		else
		{
			$error['captcha'] = TRUE;
			$errCode = "<span class=\"red\">Aucun Code de sécurité n'est indiquer</span>\n";
		}
 
		if(isset($_POST['rule']))
		{
			$register['rule'] = TRUE;
		}
		else
		{
			$error['rule'] = TRUE;
			$errRule = "<span class=\"red\">Les Conditions Générales d'Utilisation doivent être lu et compris</span><br /><br />\n";
 
		}
 
		if($register['username'] && $register['password'] && $register['email'] && $register['captcha'] && $register['quest'] && $register['repon'] && $register['pseudo'])
		{
			$sql = "INSERT INTO `accounts` (account, pass, email, question, reponse, pseudo) VALUES ('".$username."','".($hash)."','".$email."', '".$question."', '".$reponse."', '".$pseudo."')";
			$sql = $db2->prepare($sql);
			$sql->execute();
			$sql = "SELECT * FROM `accounts` WHERE account = '".$username."'";
			$sql = $db2->prepare($sql);
			$sql->execute();
			$data = $sql->fetch(PDO::FETCH_ASSOC);
			$_SESSION['id'] = $data['guid'];
?>

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
<?php
$error = FALSE;
 
if(empty($_SESSION['id']))
{
   if(isset($_POST['send']) && secu($_POST['send']) == '')
   {
	  if(isset($_POST['account']) && secu($_POST['account']) != '' && isset($_POST['pass']) && secu($_POST['pass']) != '')
	  {
		 $login = secu($_POST['account']);
		 $pass = (secu($_POST['pass']));
		 $hash = password_hash($pass,PASSWORD_BCRYPT) ;
		 if(how_db2('accounts','account',$login) == 1)
		 {
			$sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
			$sql = $db2->prepare($sql);
			$sql->execute();
			$data = $sql->fetch(PDO::FETCH_ASSOC);
			$db_pass = $hash;
			if($pass == $db_pass)
			{
			   $_SESSION['id'] = $data['guid'];
			   if(secu($_POST['page']) && secu($_POST['page']) != 'login')
			   {	
				 echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">';
			   }
			   else
			   {	
				 echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">';
			   }
			}
			else
			{	
			   $error = TRUE;
			   $msgError = 'Nom de compte ou mot de passe invalide !';
			}
		 }
		 elseif(how_db2('accounts','account',$login) > 1)
		 {	
			$error = TRUE;
			$msgError = 'Plusieurs comptes ont le même nom de compte !';
		 }
		 else
		 {	
			$error = TRUE;
			$msgError = 'Nom de compte ou mot de passe invalide !';
		 }
	  }
	  else
	  {
		 $error = TRUE;
		 $msgError = 'Veuillez remplir tous les champs !';
	  }
   }

**sabotage** · 12/05/2016, 10h11

Il faut utiliser password_verify() pour comparer les mots de passe.
password_hash() utilise un sel et donc le hashage est diff�rent � chaque fois.

De plus tu t'es emm�l� les pinceaux entre tes variables. D'ailleurs je ne vois pas comment �a peut ne pas marcher du coup avec ce $db_pass = $hash;
�galement, je ne sais pas ce que fais ta fonction secu() mais c'est une mauvaise id�e d'utiliser une fonction maison : pour la s�curit� des requ�tes il existe les requ�tes pr�par�es.

Pour finir tu as des fautes d'orthographes dans tous tes messages d'erreur.

**vazer7070** · 12/05/2016, 13h08

Pour les fautes, oui je les corrigerais, juste la je les ai faite assez tard, mais c�est vrai que en les relisant, elles sont flagrantes ><

Apr�s, $db_pass=$hash c'est pour indiquer que le hash c'est le contenu $pass de la BDD. Avant c'�tait [c]$db_pass = $pass[/cI].
Elles sont comment les requ�tes pr�par�es pour �a.?

Donc pour les 2 pages, j'utilise password_verify() et je remet $db_pass = $pass ?

Invit� · 12/05/2016, 13h28

Bonjour,

Le mieux est TOUJOURS de commencer par LIRE LA DOC : password_verify()

**sabotage** · 12/05/2016, 13h50

Apr�s, $db_pass=$hash c'est pour indiquer que le hash c'est le contenu $pass de la BDD.

sauf que $pass c'est ce qui est saisi dans le formulaire.

Pour les requ�tes pr�par�es, bien �crit �a donne �a :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
$sql = "SELECT * FROM `accounts` WHERE `account`= ?";
$sth = $db2->prepare($sql);
$sth->execute(array($login));

**vazer7070** · 12/05/2016, 14h31

merci pour la doc

ah oui, mais je ne vois pas o� le mettre dans mon code �a :-/

**Celira** · 12/05/2016, 14h48

Envoy� par sabotage

sauf que $pass c'est ce qui est saisi dans le formulaire.

Pour les requ�tes pr�par�es, bien �crit �a donne �a :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
$sql = "SELECT * FROM `accounts` WHERE `account`= ?";
$sth = $db2->prepare($sql);
$sth->execute(array($login));

A priori, � la place de ce code :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
$sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
$sql = $db2->prepare($sql);
$sql->execute();

Invit� · 12/05/2016, 15h44

Bonjour,

si on r�unit toutes les infos fournies (+ gestion d'erreurs +...) :

Code php :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
		 $login = secu($_POST['account']);
		 $pass = (secu($_POST['pass'])); // mot de pass reçu, en clair
		 if(how_db2('accounts','account',$login) == 1)
		 {
			// 1/ on cherche d'abord si ce login est bien dans la BdD
			$sql = "SELECT guid, db_pass FROM accounts WHERE account = :login"; // on n'a besoin de récupérer QUE l'id et le mot de passe hashé
			$sth = $db2->prepare($sql);
			$sth->execute(array(':login' => $login));
			$login_nombre = $sth->rowCount();
			// 2/ si login OK : on vérifie le mot de passe
			if( $login_nombre == 1)
			{
				$data = $sql->fetch(PDO::FETCH_ASSOC);
				$db_pass_hash = $data['db_pass'];
				if( password_verify($pass, $db_pass_hash) ) // compare le mot de pass reçu en clair avec le mot de passe hashé en BdD
				{
					// login et mpd OK !
					// on met en SESSION
					$_SESSION['id'] = $data['guid'];
					if(secu($_POST['page']) && secu($_POST['page']) != 'login')
					{	
						//echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">'; // ??????????
						header('location: index.php?page='.secu($_POST['page']) );
					}
					else
					{	
						//echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">'; // ??????????
						header('location: index.php?page=home' );
					}
				} else {
					// mauvais mot de passe
				}
			} else {
				// login pas trouvé
			}
		 }

**vazer7070** · 12/05/2016, 17h38

Alors avec la doc, j'ai r�ussi � r�soudre le soucis^^
(je vais garder le site en t�te ><)

je vais adapter le code que vous m'avez fournis (et que je vous en remercie grandement

), je vais y mettre le code une fois au poil^^

**vazer7070** · 30/05/2016, 21h02

navr� du temps de r�ponse mais entre IRL et les projets que je me mets en t�te, je m'en sors plus xD
notamment des trucs en java que l'on m'a demand� ><

voil� donc le code promis ^^

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php
$error = FALSE;
 
if(empty($_SESSION['id']))
{
   if(isset($_POST['send']) && secu($_POST['send']) == '')
   {
	  if(isset($_POST['account']) && secu($_POST['account']) != '' && isset($_POST['pass']) && secu($_POST['pass']) != '')
	  {
		 $login = secu($_POST['account']);
		 $pass = (secu($_POST['pass']));
		 $hash = password_hash($pass,PASSWORD_BCRYPT) ;
		 if(how_db2('accounts','account',$login) == 1)
		 {
			$sql = "SELECT * FROM `accounts` WHERE `account`='".$login."'";
			$sql = $db2->prepare($sql);
			$sql->execute();
			$data = $sql->fetch(PDO::FETCH_ASSOC);
			$db_pass = $pass;
			if(password_verify($pass, $hash))
			{
			   $_SESSION['id'] = $data['guid'];
			   if(secu($_POST['page']) && secu($_POST['page']) != 'login')
			   {	
				 echo '<meta http-equiv="refresh" content="0; url=index.php?page='.secu($_POST['page']).'">';
			   }
			   else
			   {	
				 echo '<meta http-equiv="refresh" content="0; url=index.php?page=home">';
			   }
			}
			else
			{	
			   $error = TRUE;
			   $msgError = 'Nom de compte ou mot de passe invalide !';
			}
		 }
		 elseif(how_db2('accounts','account',$login) > 1)
		 {	
			$error = TRUE;
			$msgError = 'Plusieurs comptes ont le même nom.!';
		 }
		 else
		 {	
			$error = TRUE;
			$msgError = 'Nom de compte ou mot de passe invalide !';
		 }
	  }
	  else
	  {
		 $error = TRUE;
		 $msgError = 'Veuillez remplir tous les champs !';
	  }
   }
?>

hashage de mot de passe [MySQL]

PHP & Base de donn�es

Discussions similaires

Partager

Partager