[AVIS] ma méthode pour stocker un password ds un cookie

ma méthode pour stocker un password ds un cookie [AVIS] - PHP - Programmation

Marsh Posté le 10-05-2003 à 11:03:52    

bonjour à tous,
 
je suis en train de développer un forum. seules les personnes identifiées peuvent poster.
je ne veux pas que la personne retappe son password à chaque fois, d'ou l'utilité d'un cookie (comme sur ce forum).
mais je me pose la question suivante: n'est-il pas un peu risqué de stocker le pseudo + le pass dans un cookie? si oui, voici ce que je compte stocker:
pseudo + premiere lettre du password + n° identifiant + derniere lettre du password, ou qque chose comme ça...
 
j'attends vos idées et vos avis   :)


---------------
www.element62.com
Reply

Marsh Posté le 10-05-2003 à 11:03:52   

Reply

Marsh Posté le 10-05-2003 à 12:04:06    

Pour le pass, stocke un hash, comme www.php.net/md5
 
md5(pass), ou md5(nombre aléatoire généré à la connexion) qu'on garde dans la db et qu'on compare à ce que contient le cookie.

Reply

Marsh Posté le 10-05-2003 à 12:32:07    

tu peux essayer plutot que de stocker le mot de passe, créer un cookie uniquement quand la personne se log.  
 
si le cookie existe alors la personne est enregistrée et peut poster  
 
si le cookie n'existe pas refuser la création de message

Reply

Marsh Posté le 10-05-2003 à 19:53:20    

yesssssssss yes yes  :)  
 
merci à tt les 2 pour vos reponses. c'est nikel  [:toto_777]


---------------
www.element62.com
Reply

Marsh Posté le 11-05-2003 à 00:22:02    

Bin pour le cooki qui est juste "créé" mais qui ne contient pas d'information de vérification.. pas trop bon... c'est trop simple de créer un cooki.. alors n'importe qui pourrait rentrer apres quelque essais de "piratage". ..  
Du plus comment reconnaitre le gars qui est connecter grace a un cooki si le cooki ne comprend aucune information d'identité?
 
La solution d'un numéro aléatoire stoqué dans la base en plus du pseudo et du mot de passe est la meilleur solution...
 et je pense qu'il faut prévoir une durée de vie du cookie.. du style il se pourrit (petite allusion aux gateaux.. désolé mais a 1H du mat.. j'ai la dalle en parlant des cookies) apres 31 jours... reentrer son mot de passe 1 fois par mois c'est pas la mort.. et ca assure plus de sécurité..  
Pour qu'un gars puisse pirater le forum.. il faut qu'il s'y reprenne tous les mois.. et ca passerait pas innapercu. et le mois suivant.. on change le numéro dans la base et on recré le cookie si le mot de passe est revalidé.
Sans quoi, si une personne récupère le cookie d'un gars.. il aura un accés illimité dans le temps à ses messages, ou alors jusqu'a fermeture du compte.
De plus, nombreux sont ceux qui supprime les cookies.. ou au moins limite leur accés.. donc mettre une limite d'un mois n'est pas non plus repousser trés loin les bornes des limites.. (mmm une bonne petite mousse au chocolat)..
bon allé moi je vais m'en jeter une petite dans la goulote.. mmm despé quand tu nous tiens.
bon moment a tous..  
et bon codage a tous les riders


---------------
Qui se le leve avec l'envie de boire, se couche avec la guele de bois..
Reply

Marsh Posté le 12-05-2003 à 16:48:44    

tu peux stocker le mot de passe crypter en utilisant la fonction crypt($mot_de_passe,"clé" )

Reply

Marsh Posté le 12-05-2003 à 20:45:24    

Tiens ça fait longtemps que j'ai pas répondu à une question PHP !
 
Pourquoi n'utilises-tu pas les sessions. C fait exactement pour ça. Tu authentifies le gars (il tape son login et mdp). Tu créés la session, càd qu'un fichier texte se place dans un rép désigné (voir config PHP) avec le login et le mdp dedans. Ce fichier correspond à un n° unique de 32 caractères. Sur le navigateur du client, un cookie est stocké avec ce fameux n° unique. Ainsi quand il revient, si le cookie existe la session enregistrée s'ouvre et tu récupère le mdp login que peux à nouveau vérifier avec ton script. En plus les sessions fonctionnent par défaut sur le principe du cookie de session : le client entre ses données et le cookie conservées tant qu'il ne ferme pas son navigateur. S'il le ferme il lui faudra réentrer ce qu'il faut. Bien entendu on peut donner une durée de vie au cookie comme 30 jours par ex. Je sais pas si g été clair mais pour résumer : sessions.

Reply

Marsh Posté le 12-05-2003 à 21:40:32    

DjobiDjoba a écrit :

tu peux stocker le mot de passe crypter en utilisant la fonction crypt($mot_de_passe,"clé" )


 
mais comment décripter??


---------------
www.element62.com
Reply

Marsh Posté le 12-05-2003 à 22:05:52    

pour le mot de passe il faut le stocké en crypté dans ta base de données mySQL je suppose.
 

Code :
  1. password($ton_mot_de_passe)


 
tu decrypte jamais le password (d'ailleurs c'est a priori trés difficile, voir impossible, a faire) tu compare les deux password cryptés.
 
SI password($mot_de_passe_saisie) == password($mot_de_passe)
ALORS ok
 
// je ne me souviens plus si la fonction password est une fonction SQL ou PHP donc a vérifier.
 


---------------
J'écoute FIP sur le net !
Reply

Marsh Posté le 13-05-2003 à 00:22:50    

free_rider_ a écrit :


 
mais comment décripter??


 

if ($mot_de_passe_extrait_du_cookie == crypt($mot_de_passe_saisie_dans_le_form_ou_extrait_de_la_base,"clé" )) {
   echo "biennnn !";
}else{
   echo "paaas biennn !";
}



Message édité par djobidjoba le 13-05-2003 à 00:23:12
Reply

Marsh Posté le 13-05-2003 à 00:22:50   

Reply

Marsh Posté le 13-05-2003 à 00:24:18    

3Phach4 a écrit :

pour le mot de passe il faut le stocké en crypté dans ta base de données mySQL je suppose.
 

Code :
  1. password($ton_mot_de_passe)


 
tu decrypte jamais le password (d'ailleurs c'est a priori trés difficile, voir impossible, a faire) tu compare les deux password cryptés.
 
SI password($mot_de_passe_saisie) == password($mot_de_passe)
ALORS ok
 
// je ne me souviens plus si la fonction password est une fonction SQL ou PHP donc a vérifier.
 
 


 
paaa biennn ! t'as un password() en trop là :D

Reply

Marsh Posté le 13-05-2003 à 09:10:50    

exact ! en effet. puisque le mot e passe est deja crypté dans la BDD.
 
J'etais un peu fatigué...


---------------
J'écoute FIP sur le net !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed