Ne puisse pas accéder au mot de passe des formulaires ou dans le
Fermé
vince6629
Messages postés
73
Date d'inscription
lundi 20 septembre 2010
Statut
Membre
Dernière intervention
5 janvier 2017
-
8 oct. 2015 à 14:59
ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 - 8 oct. 2015 à 15:20
ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 - 8 oct. 2015 à 15:20
A voir également:
- Ne puisse pas accéder au mot de passe des formulaires ou dans le
- Voir mot de passe wifi android - Guide
- Mot de passe - Guide
- Trousseau mot de passe iphone - Guide
- Mot de passe administrateur - Guide
- Identifiant et mot de passe - Guide
2 réponses
Pitet
Messages postés
2826
Date d'inscription
lundi 11 février 2013
Statut
Membre
Dernière intervention
21 juillet 2022
525
8 oct. 2015 à 15:13
8 oct. 2015 à 15:13
Salut,
Voici un début de réflexion : https://www.php.net/manual/fr/faq.passwords.php
Bonne journée
Voici un début de réflexion : https://www.php.net/manual/fr/faq.passwords.php
Bonne journée
ElementW
Messages postés
4816
Date d'inscription
dimanche 12 juin 2011
Statut
Contributeur
Dernière intervention
5 octobre 2021
1 228
8 oct. 2015 à 15:20
8 oct. 2015 à 15:20
'lut. Heu, c'est à dire?
Le code PHP est censé traiter les données du formulaire et vérifier la validité du login et mot de passe mais jamais ces 2 valeurs ne sont écrites en clair dans le script, ou même en clair n'importe où que ce soit pour le mot de passe.
Le code PHP n'est pas censé être lisible par l'extérieur, seul le serveur le connait et l'exécute. Si on peut le lire d'une manière ou d'une autre, c'est qu'il y a une faille dans ta config ou tes scripts qui permet de virtuellement lire tous les fichiers que le serveur web (Apache, nginx, lighttpd, ...) peut lire.
Quant aux mots de passe, ils doivent être stockés sous forme hashée, donc pas réversible (attention certains algos comme MD5 et SHA1 ont montrés leur faiblesses face aux collisions, préférer SHA256 minimum). Pour ce qui est du transit du mot de passe entre client et serveur, il est possible d'intercepter le mot de passe en faisant une attaque MITM, le seul moyen d'en échapper étant d'utiliser HTTPS, donc de se procurer un certificat SSL (souvent pas gratuit) et de le configurer sur le serveur, ce que ton hébergeur ne te laissera pas faire si c'est un hébergeur gratuit.
Le code PHP est censé traiter les données du formulaire et vérifier la validité du login et mot de passe mais jamais ces 2 valeurs ne sont écrites en clair dans le script, ou même en clair n'importe où que ce soit pour le mot de passe.
Le code PHP n'est pas censé être lisible par l'extérieur, seul le serveur le connait et l'exécute. Si on peut le lire d'une manière ou d'une autre, c'est qu'il y a une faille dans ta config ou tes scripts qui permet de virtuellement lire tous les fichiers que le serveur web (Apache, nginx, lighttpd, ...) peut lire.
Quant aux mots de passe, ils doivent être stockés sous forme hashée, donc pas réversible (attention certains algos comme MD5 et SHA1 ont montrés leur faiblesses face aux collisions, préférer SHA256 minimum). Pour ce qui est du transit du mot de passe entre client et serveur, il est possible d'intercepter le mot de passe en faisant une attaque MITM, le seul moyen d'en échapper étant d'utiliser HTTPS, donc de se procurer un certificat SSL (souvent pas gratuit) et de le configurer sur le serveur, ce que ton hébergeur ne te laissera pas faire si c'est un hébergeur gratuit.