[Résolu 2.2] [DB] tusers

[Raphael1980]

Bonne rencontre,

Une petite suggestion serait de crypter le mot de passe dans la base de données.

Si on a accès au MYSQL, on voit directement les mots de passe des users.

Si un jour vous pensez le faire, il ne faudrait pas simplement une technique MD5 mais ajouter au moins un salt histoire de compliquer un peu les choses.

Amicalement,
Raphaël.

[Flox]

Bonjour,

Merci de votre l’intérêt pour le logiciel, effectivement les mots de passes métrerait d'etre crypté, je ne connait pas la technique salt mais je me pencherai dessus pour la version 2.2.

Cordialement

[Raphael1980]

La technique du grain de sel est facile et complexifie le hash.

Code : Tout sélectionner

<?php

$password = $_POST['password'];

// Génération d'une chaine de caractères aléatoire
$salt = substr(md5(uniqid(rand(), true)), 0, 5);

// Hash
$secure_password = md5($salt . md5($password));

?>

Le sel doit être stocké en clair dans la DB contrairement au mot de passe. Ensuite l'idéal est d'utiliser le sel sur plusieurs niveaux.

$secure_password = md5(md5($salt.$password).md5($salt.$salt));

Une recherche sur google te donnera plein d'articles intéressant sur le sujet. Maintenant ça doit pas être une forteresse imprenable mais crypté le mot de passe n'est pas un luxe.

Bon développement,
Raphaël.

[Flox]

Bonjour,

merci pour votre code, je l'intégrerai dans la prochaine version.


Merci de votre soutient à l'application.

Cordialement

[Flox]

Bonjour,

votre code à été intégré dans la version 2.2.

Merci