Login problème a lire du Md5

Fermé
fushiida - 13 août 2012 à 02:47
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 - 13 août 2012 à 12:50
Bonjour,

Alors voila j'ai ce script

<?php
}
else
{
	$ologin = '';
	//On verifie si le formulaire a ete envoye
	if(isset($_POST['login'], $_POST['password']))
	{
		//On echappe les variables pour pouvoir les mettre dans des requetes SQL
		if(get_magic_quotes_gpc())
		{
			$ologin = stripslashes($_POST['login']);
			$login = mysql_real_escape_string(stripslashes($_POST['login']));
			$password = stripslashes ($_POST['password']);
		}
		else
		{
			$login = mysql_real_escape_string($_POST['login']);
			$pass=mysql_real_escape_string($_POST["password"]);
			$password = $_POST ['password'];
		}
		//On recupere le mot de passe de lutilisateur
		$req = mysql_query('SELECT password,id from account WHERE login="'.$login.'" AND password=PASSWORD("'.$password.'")');
		$dn = mysql_fetch_array($req);
		//On le compare a celui quil a entre et on verifie si le membre existe
		if($dn['password']==$password and mysql_num_rows($req)>0)
		{
			//Si le mot de passe es bon, on ne vas pas afficher le formulaire
			$form = false;
			//On enregistre son pseudo dans la session login et son identifiant dans la session id
			$_SESSION['login'] = $_POST['login'];
			$_SESSION['id'] = $dn['id'];
?>



J'aimerai pouvoir lire les mots de passe qui sont en md5 et je sais pas comment faire,
Merci d'avance
A voir également:

3 réponses

garious Messages postés 1032 Date d'inscription vendredi 26 juin 2009 Statut Membre Dernière intervention 17 mars 2014 200
13 août 2012 à 02:49
Bonsoir a quoi te servirai de lire le md5 ?
0
Pour un login quand une personne essayer de ce loger le script doit traduire le code md5 pour qu'il concorde avec ce que l'utilisateur écrit
0
garious Messages postés 1032 Date d'inscription vendredi 26 juin 2009 Statut Membre Dernière intervention 17 mars 2014 200
13 août 2012 à 04:09
Tu sais qu'un code md5 est un cryptage où on peut pas recupere le vrai mot de passe derriere parce qu'on perd des données dedans ?
0
Utilisateur anonyme
13 août 2012 à 09:34
En effet c'est un cryptage à sens unique. Tu ne peux pas décrypter.
Toutefois, chaque ensemble de caractère à une correspondance unique.
Donc tu peux comparer ton mot de passe en md5 avec md5(variable_entre_par_l_utilisateur).
Cependant, le md5 est devenu dangereux. Il vaut mieux utiliser maintenant l'algo sha1(qui s'utilise de la même manière) car:

- il existe de + en + de dictionnaire md5 sur internet pour aider aux pirates à décrypter les mdp

- sha1 engendre moins de collisions
0
KX Messages postés 16668 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mars 2023 3 004
13 août 2012 à 09:38
"C'est un cryptage à sens unique. Tu ne peux pas décrypter."
Donc ce n'est pas du cryptage, c'est une fonction de hachage...

"Il vaut mieux utiliser maintenant l'algo sha1"
SHA-256 serait encore mieux !
0
Utilisateur anonyme
13 août 2012 à 09:41
oui c'est vrai c'est un fonction de hachage, je me suis mal exprimé.
Et oui, il y a toujours mieux, mais bon, c'était surtout pour souligner le fait qu'il ne faut plus utiliser md5.
0
garious Messages postés 1032 Date d'inscription vendredi 26 juin 2009 Statut Membre Dernière intervention 17 mars 2014 200
13 août 2012 à 10:36
Y en as qui utilise deux fois le cryptage avec deux cle different ce qui donne plus difficile le hacking
0
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 1 817
Modifié par fiddy le 13/08/2012 à 11:45
Toutefois, chaque ensemble de caractère à une correspondance unique.
Non ce n'est pas unique. Mais il doit être difficile de trouver un autre message générant la même signature. Résistance à l'attaque sur la 2nde préimage.

Et oui, il y a toujours mieux, mais bon, c'était surtout pour souligner le fait qu'il ne faut plus utiliser md5.
Et tu as raison. Sauf que SHA-1 ne doit plus non plus être utilisé, de la même façon que MD5. Pour les 2 fonctions de hachage, un algorithme de coût inférieur à la force brute générant de façon déterminste des collissions.

- il existe de + en + de dictionnaire md5 sur internet pour aider aux pirates à décrypter les mdp
Ce n'est pas ça qui est gênant. Un mot de passe ne doit pas être hacher simplement, il faut toujours lui appliquer un salt. Et ce, que ce soit MD5 ou non.
0
Y en as qui utilise deux fois le cryptage
Certes, mais tu augmentes les chances de collisions.

Non ce n'est pas unique.
Oui, mais l'idée c'est ça. Après oui, il peut y avoir des collisions bien sur, mais elles sont réduitesau max.

Sauf que SHA-1 ne doit plus non plus être utilisé
C'est pas faux, j'y pensais plus, j'ai un train de retard xD

il faut toujours lui appliquer un salt

A ce propos, la fonctions crypt propose des fonctions de hachage plus sur avec un salt en argument. C'est ce qui me semble le mieux.
0
kalamit Messages postés 278 Date d'inscription samedi 10 juin 2006 Statut Contributeur Dernière intervention 29 juin 2016 17
13 août 2012 à 10:25
Hello,

Comme dit plus haut, impossible. Et heureusement ! Cela signifierait qu'il est possible de récuperer les mots de passe en cas de hack de la base de données.

Le principe standard est le suivant:
- pour s'identifier, on récupere la chaine md5 dans la base que l'on compare avec le md5 de la chaine tapée par l'utilisateur dans le formulaire
- pour un mot de passe perdu, pas le choix, il faut en générer un nouveau et le proposer.

A+
0