[PHP] stocker un mot de passe dans une variable de session (en clair)

stocker un mot de passe dans une variable de session (en clair) [PHP] - PHP - Programmation

Marsh Posté le 28-10-2003 à 15:33:21    

Boooo, c'est mal! :o  
 
Mais alors comment proceder si on veut que l'utilisateur entre le username/password une seule fois au moment du login et qu'on a besoin du password ensuite assez souvent pour acceder a une application externe (en plus il faudrait avoir le password en clair pour l'utiliser dans une ligne de commande)?

Reply

Marsh Posté le 28-10-2003 à 15:33:21   

Reply

Marsh Posté le 28-10-2003 à 15:50:22    

Une petite idée?

Reply

Marsh Posté le 29-10-2003 à 08:41:33    

:o

Reply

Marsh Posté le 29-10-2003 à 09:39:05    

session


---------------
Ptit con de goret je t'emmerde ^_^
Reply

Marsh Posté le 29-10-2003 à 11:03:57    

Citation :

session


 
Oui mais encore?
 
Dois-je comprendre que tu recommandes l'utilisation d'une variable de session pour stocker mon password (ce que je fais pour l'instant car j'ai rien trouvé de mieux)?

Reply

Marsh Posté le 29-10-2003 à 16:31:39    

il n'est nul besoin de le stocker en clair. Il te suffit de faire la comparaison entre mots de passe chriffrés.

Reply

Marsh Posté le 29-10-2003 à 16:52:39    

Azzazel a écrit :

il n'est nul besoin de le stocker en clair. Il te suffit de faire la comparaison entre mots de passe chriffrés.

S'il a besoin du mot de passe en clair pour une appli externe il peut pas en stocker un hash

Reply

Marsh Posté le 30-10-2003 à 07:57:17    

Citation :

S'il a besoin du mot de passe en clair pour une appli externe il peut pas en stocker un hash


 
Ben voui.
 
Bon sinon je pense que je vais stocker mes sessions dans la BD, au moins les passwords ne seront pas en clairs dans un fichier present sur le serveur.

Reply

Marsh Posté le 30-10-2003 à 08:07:06    

sinon tu peux le chiffrer (et pas le hasher, nuance :) )
 
le chiffrement est une opération réversible
 
genre en 3-DES, ou quelquechose comme ça
mais le pb c'est que la clé qui va te servir à chiffre/déchiffrer elle sera bien aussi quelque part sur le serveur [:spamafote]


Message édité par ratibus le 30-10-2003 à 08:07:48
Reply

Marsh Posté le 30-10-2003 à 08:14:24    

Citation :

sinon tu peux le chiffrer (et pas le hasher, nuance   )
 
le chiffrement est une opération réversible
 
genre en 3-DES, ou quelquechose comme ça
mais le pb c'est que la clé qui va te servir à chiffre/déchiffrer elle sera bien aussi quelque part sur le serveur


 
Oui mais c'est deja mieux que d'avoir un password que tu peux recuperer en ouvrant un fichier de session avec Notepad. :D
 
Au fait, c'est pas possible sous Windows de mettre des droits suivant l'utilisateur sur les fichiers (comme sous Unix/Linux)?

Reply

Marsh Posté le 30-10-2003 à 08:14:24   

Reply

Marsh Posté le 30-10-2003 à 08:39:52    

impulse a écrit :

Citation :

sinon tu peux le chiffrer (et pas le hasher, nuance   )
 
le chiffrement est une opération réversible
 
genre en 3-DES, ou quelquechose comme ça
mais le pb c'est que la clé qui va te servir à chiffre/déchiffrer elle sera bien aussi quelque part sur le serveur


 
Oui mais c'est deja mieux que d'avoir un password que tu peux recuperer en ouvrant un fichier de session avec Notepad. :D
 
 


 
C'est une blague ? Tu as ton fichier de session dispo sur internet toi ?? C'est en amont de ton www qu'il faut le mettre, et là, tu peux courrir pour le voir... Il faut obligatoirement passer par ftp pour y avoir accès...  :heink:

Reply

Marsh Posté le 30-10-2003 à 08:45:55    

Citation :

C'est une blague ? Tu as ton fichier de session dispo sur internet toi ?? C'est en amont de ton www qu'il faut le mettre, et là, tu peux courrir pour le voir... Il faut obligatoirement passer par ftp pour y avoir accès...


 
Bien sur, il faut deja avoir un acces sur le serveur. :D
Enfin, il faut prevoir toutes les eventualités. ;)


Message édité par impulse le 30-10-2003 à 08:46:26
Reply

Marsh Posté le 30-10-2003 à 09:59:29    

impulse a écrit :

Citation :

session


 
Oui mais encore?
 
Dois-je comprendre que tu recommandes l'utilisation d'une variable de session pour stocker mon password (ce que je fais pour l'instant car j'ai rien trouvé de mieux)?


 
Non je voulais dire d'utiliser les session ! Pas besoin de stocker le pw pour ca, l'ID de la session suffit.


---------------
Ptit con de goret je t'emmerde ^_^
Reply

Marsh Posté le 30-10-2003 à 10:58:31    

Citation :

Non je voulais dire d'utiliser les session ! Pas besoin de stocker le pw pour ca, l'ID de la session suffit.


 
Ah oui? Et je fais quoi apres quand j'ai besoin de mon password pour l'utiliser dans une ligne de commande :??:

Reply

Marsh Posté le 30-10-2003 à 11:02:28    

pourquoi utiliser le password ??

Reply

Marsh Posté le 30-10-2003 à 11:09:59    

>_<
 
Pour la enieme fois => j'ai besoin du password plus tard pour utiliser une appli externe qui utilise la meme methode d'authentification (LDAP). Voila pourquoi il faut que je stocke le password qque part.


Message édité par impulse le 30-10-2003 à 11:10:53
Reply

Marsh Posté le 30-10-2003 à 12:00:07    

Si il te faut obligatoirement en clair et que tu ne veux pas avoir à le rerentrer un énième fois, le mieux reste de le stocker dans une variable de session.

Reply

Marsh Posté le 30-10-2003 à 12:23:12    

impulse a écrit :

Citation :

C'est une blague ? Tu as ton fichier de session dispo sur internet toi ?? C'est en amont de ton www qu'il faut le mettre, et là, tu peux courrir pour le voir... Il faut obligatoirement passer par ftp pour y avoir accès...


 
Bien sur, il faut deja avoir un acces sur le serveur. :D
Enfin, il faut prevoir toutes les eventualités. ;)


 
Oué enfin bon, si tu pars du principe qu'on peut avoir accès au serveur, c'est pas gagné, tu pourras faire ce que tu veux, y'aura toujours un moyen là...
Même en passant par une DB, ca doit être possible de lire les fichiers de la DB, etc...

Reply

Marsh Posté le 30-10-2003 à 13:33:50    

ratibus a écrit :


Citation :

Azzazel a écrit :
il n'est nul besoin de le stocker en clair. Il te suffit de faire la comparaison entre mots de passe chriffrés.


S'il a besoin du mot de passe en clair pour une appli externe il peut pas en stocker un hash


 
et ensuite

Citation :

ratibus a écrit
sinon tu peux le chiffrer (et pas le hasher, nuance   )


 
J'ai justement utilisé le mot "chiffré" à cette effet ... Il compare les mot de passe chiffrés pour son appli internet et il le déchiffre pour son appli externe ...mais bon ...

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed