Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1183 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  [AVIS] ma méthode pour stocker un password ds un cookie

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[AVIS] ma méthode pour stocker un password ds un cookie

n°388953
Free_RideR​_
get up haaaaaaaaa....
Posté le 10-05-2003 à 11:03:52  profilanswer
 

bonjour à tous,
 
je suis en train de développer un forum. seules les personnes identifiées peuvent poster.
je ne veux pas que la personne retappe son password à chaque fois, d'ou l'utilité d'un cookie (comme sur ce forum).
mais je me pose la question suivante: n'est-il pas un peu risqué de stocker le pseudo + le pass dans un cookie? si oui, voici ce que je compte stocker:
pseudo + premiere lettre du password + n° identifiant + derniere lettre du password, ou qque chose comme ça...
 
j'attends vos idées et vos avis   :)


---------------
www.element62.com
mood
Publicité
Posté le 10-05-2003 à 11:03:52  profilanswer
 

n°388973
youdontcar​e
Posté le 10-05-2003 à 12:04:06  profilanswer
 

Pour le pass, stocke un hash, comme www.php.net/md5
 
md5(pass), ou md5(nombre aléatoire généré à la connexion) qu'on garde dans la db et qu'on compare à ce que contient le cookie.

n°388988
3Phach4
...
Posté le 10-05-2003 à 12:32:07  profilanswer
 

tu peux essayer plutot que de stocker le mot de passe, créer un cookie uniquement quand la personne se log.  
 
si le cookie existe alors la personne est enregistrée et peut poster  
 
si le cookie n'existe pas refuser la création de message

n°389300
Free_RideR​_
get up haaaaaaaaa....
Posté le 10-05-2003 à 19:53:20  profilanswer
 

yesssssssss yes yes  :)  
 
merci à tt les 2 pour vos reponses. c'est nikel  [:toto_777]


---------------
www.element62.com
n°389512
loveemilia
Posté le 11-05-2003 à 00:22:02  profilanswer
 

Bin pour le cooki qui est juste "créé" mais qui ne contient pas d'information de vérification.. pas trop bon... c'est trop simple de créer un cooki.. alors n'importe qui pourrait rentrer apres quelque essais de "piratage". ..  
Du plus comment reconnaitre le gars qui est connecter grace a un cooki si le cooki ne comprend aucune information d'identité?
 
La solution d'un numéro aléatoire stoqué dans la base en plus du pseudo et du mot de passe est la meilleur solution...
 et je pense qu'il faut prévoir une durée de vie du cookie.. du style il se pourrit (petite allusion aux gateaux.. désolé mais a 1H du mat.. j'ai la dalle en parlant des cookies) apres 31 jours... reentrer son mot de passe 1 fois par mois c'est pas la mort.. et ca assure plus de sécurité..  
Pour qu'un gars puisse pirater le forum.. il faut qu'il s'y reprenne tous les mois.. et ca passerait pas innapercu. et le mois suivant.. on change le numéro dans la base et on recré le cookie si le mot de passe est revalidé.
Sans quoi, si une personne récupère le cookie d'un gars.. il aura un accés illimité dans le temps à ses messages, ou alors jusqu'a fermeture du compte.
De plus, nombreux sont ceux qui supprime les cookies.. ou au moins limite leur accés.. donc mettre une limite d'un mois n'est pas non plus repousser trés loin les bornes des limites.. (mmm une bonne petite mousse au chocolat)..
bon allé moi je vais m'en jeter une petite dans la goulote.. mmm despé quand tu nous tiens.
bon moment a tous..  
et bon codage a tous les riders


---------------
Qui se le leve avec l'envie de boire, se couche avec la guele de bois..
n°390679
djobidjoba
Posté le 12-05-2003 à 16:48:44  profilanswer
 

tu peux stocker le mot de passe crypter en utilisant la fonction crypt($mot_de_passe,"clé" )

n°390937
Dost67
Posté le 12-05-2003 à 20:45:24  profilanswer
 

Tiens ça fait longtemps que j'ai pas répondu à une question PHP !
 
Pourquoi n'utilises-tu pas les sessions. C fait exactement pour ça. Tu authentifies le gars (il tape son login et mdp). Tu créés la session, càd qu'un fichier texte se place dans un rép désigné (voir config PHP) avec le login et le mdp dedans. Ce fichier correspond à un n° unique de 32 caractères. Sur le navigateur du client, un cookie est stocké avec ce fameux n° unique. Ainsi quand il revient, si le cookie existe la session enregistrée s'ouvre et tu récupère le mdp login que peux à nouveau vérifier avec ton script. En plus les sessions fonctionnent par défaut sur le principe du cookie de session : le client entre ses données et le cookie conservées tant qu'il ne ferme pas son navigateur. S'il le ferme il lui faudra réentrer ce qu'il faut. Bien entendu on peut donner une durée de vie au cookie comme 30 jours par ex. Je sais pas si g été clair mais pour résumer : sessions.

n°391007
Free_RideR​_
get up haaaaaaaaa....
Posté le 12-05-2003 à 21:40:32  profilanswer
 

DjobiDjoba a écrit :

tu peux stocker le mot de passe crypter en utilisant la fonction crypt($mot_de_passe,"clé" )


 
mais comment décripter??


---------------
www.element62.com
n°391038
3Phach4
...
Posté le 12-05-2003 à 22:05:52  profilanswer
 

pour le mot de passe il faut le stocké en crypté dans ta base de données mySQL je suppose.
 

Code :
  1. password($ton_mot_de_passe)


 
tu decrypte jamais le password (d'ailleurs c'est a priori trés difficile, voir impossible, a faire) tu compare les deux password cryptés.
 
SI password($mot_de_passe_saisie) == password($mot_de_passe)
ALORS ok
 
// je ne me souviens plus si la fonction password est une fonction SQL ou PHP donc a vérifier.
 


---------------
J'écoute FIP sur le net !
n°391170
djobidjoba
Posté le 13-05-2003 à 00:22:50  profilanswer
 

free_rider_ a écrit :


 
mais comment décripter??


 

if ($mot_de_passe_extrait_du_cookie == crypt($mot_de_passe_saisie_dans_le_form_ou_extrait_de_la_base,"clé" )) {
   echo "biennnn !";
}else{
   echo "paaas biennn !";
}



Message édité par djobidjoba le 13-05-2003 à 00:23:12
mood
Publicité
Posté le 13-05-2003 à 00:22:50  profilanswer
 

n°391172
djobidjoba
Posté le 13-05-2003 à 00:24:18  profilanswer
 

3Phach4 a écrit :

pour le mot de passe il faut le stocké en crypté dans ta base de données mySQL je suppose.
 

Code :
  1. password($ton_mot_de_passe)


 
tu decrypte jamais le password (d'ailleurs c'est a priori trés difficile, voir impossible, a faire) tu compare les deux password cryptés.
 
SI password($mot_de_passe_saisie) == password($mot_de_passe)
ALORS ok
 
// je ne me souviens plus si la fonction password est une fonction SQL ou PHP donc a vérifier.
 
 


 
paaa biennn ! t'as un password() en trop là :D

n°391326
3Phach4
...
Posté le 13-05-2003 à 09:10:50  profilanswer
 

exact ! en effet. puisque le mot e passe est deja crypté dans la BDD.
 
J'etais un peu fatigué...


---------------
J'écoute FIP sur le net !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  [AVIS] ma méthode pour stocker un password ds un cookie

 

Sujets relatifs
[AVIS] création de site web sur voila.fr[PHP]Probleme de creation de cession/cookie
[Modele BD] Besoin de votre avis sur ce modèle...Meilleur endroit ou stocker des mots de passe dans Access...
[PHP] Temps restant avant expiration d'un cookieMeilleur methode pour recuperer un short dans un tableau de byte
possible de stocker des Structures dans des Collections ? [RESOLU]Avis tarification
Méthode de tri[PHP] temps minimal pour generer un cookie
Plus de sujets relatifs à : [AVIS] ma méthode pour stocker un password ds un cookie


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR