Page 1 sur 1
[Résolu 2.2] [DB] tusers
Posté : ven. 20 juil. 2012 14:44
par Raphael1980
Bonne rencontre,
Une petite suggestion serait de crypter le mot de passe dans la base de données.
Si on a accès au MYSQL, on voit directement les mots de passe des users.
Si un jour vous pensez le faire, il ne faudrait pas simplement une technique MD5 mais ajouter au moins un salt histoire de compliquer un peu les choses.
Amicalement,
Raphaël.
Re: [DB] tusers
Posté : ven. 20 juil. 2012 19:05
par Flox
Bonjour,
Merci de votre l’intérêt pour le logiciel, effectivement les mots de passes métrerait d'etre crypté, je ne connait pas la technique salt mais je me pencherai dessus pour la version 2.2.
Cordialement
Re: [DB] tusers
Posté : jeu. 26 juil. 2012 10:36
par Raphael1980
La technique du grain de sel est facile et complexifie le hash.
Code : Tout sélectionner
<?php
$password = $_POST['password'];
// Génération d'une chaine de caractères aléatoire
$salt = substr(md5(uniqid(rand(), true)), 0, 5);
// Hash
$secure_password = md5($salt . md5($password));
?>
Le sel doit être stocké en clair dans la DB contrairement au mot de passe. Ensuite l'idéal est d'utiliser le sel sur plusieurs niveaux.
$secure_password = md5(md5($salt.$password).md5($salt.$salt));
Une recherche sur google te donnera plein d'articles intéressant sur le sujet. Maintenant ça doit pas être une forteresse imprenable mais crypté le mot de passe n'est pas un luxe.
Bon développement,
Raphaël.
Re: [DB] tusers
Posté : jeu. 26 juil. 2012 17:02
par Flox
Bonjour,
merci pour votre code, je l'intégrerai dans la prochaine version.
Merci de votre soutient à l'application.
Cordialement
Re: [Résolu 2.2] [DB] tusers
Posté : sam. 6 oct. 2012 11:40
par Flox
Bonjour,
votre code à été intégré dans la version 2.2.
Merci