Bonjour,
je me pose une question de sécurité.
Si dans une page login.php, j'ai un formulaire avec :
- 2 champs (login + pass)
- méthode POST
- action = verif_login.php
et dans cette page verif_login.php j'effectue les requêtes mysql pour savoir si le couple login/pass rentré est OK.
PS : dans un soucis de sécurité, j'utilise la fonction sha1() de php pour générer un hash du password, sachant que dans la base le password est rentré en utilisant la fonction sha1 de MySQL.
Comme la requête de post repart vers le serveur, qqun pourrait-il l'écouter/la sniffer pour en récupérer le couple login/pass qui repart en post ?
Parce que dans ce cas-là, ça sert à rien que je m'enquiquine à hasher le password pour ne pas qu'il circule en clair dans ma requête SQL, qui de plus est exécutée par le serveur en local ...
@+
Partager