Comparaison de mots de passe PHP-MySQL

**jaymzwise** · 30/07/2007, 12h00

Salut !

J'ai un problème avec la comparaison de mes mots de passe.
Pour le hashage de mes mots de passe je me sers de SHA256 avant de les stocker dans ma table.
Lors du login, je compare donc les mots de passe. Le problème est que la comparaison fonctionne pour certains mots de passe mais pas pour d'autres alors que les hashs sont, à priori, identiques.
Pour les comparer j'utilise une requête SQL du style:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$mdp=mysql_real_escape_string(MHASH(MHASH_SHA256,$_SERVER['PHP_AUTH_PW']);
req="SELECT Nom From Users WHERE pass='".$mdp."'";

Je ne comprends pas pourquoi certaines comparaisons fonctionnent mais pas d'autres.
D'où cela pourrait-il venir ?

Merci d'avance.

**mathieu** · 30/07/2007, 12h12

donne nous un exemple qui ne fonctionne pas

**coachllb** · 30/07/2007, 12h34

salut

ne devrais-tu pas utliser bin2hex pour convertir d'abord les données binaire en ascii de ton mot de passe encodé.

Que te permet de récupérer $_SERVER['PHP_AUTH_PW'] ?

**jaymzwise** · 30/07/2007, 13h55

$_SERVER['PHP_AUTH_PW'] me permet de récupérer le mot de passe en clair.
Par contre, le bin2hex, je dois le faire avant de stocker mes mots de passe dans ma table ou avant de le comparer ?

Voici un exemple de comparaison qui ne fonctionne pas :

Mot de passe stocké dans ma table : æò,ä…Ò4/'ŸÂµü‰ü†4ÛmâD1Ðz“ ,”4Ë™
Mot de passe que je compare : æò,ä…Ò4/'ŸÂµü‰ü†4ÛmâD1Ðz“ ,”4Ë™

Les mêmes donc, enfin, à première vue.

EDIT: Effectivement, en stockant le mot de passe après un MHASH puis un bin2hex la comparaison fonctionne. Niveau sécurité c'est propre ?
Au départ, j'utilisais MD5 pour le hachage mais je suis tombé sur un site qui permet de remonter au mot de passe à partir du hash du coup j'ai modifié la façon de stocker mes mots de passe.

**coachllb** · 30/07/2007, 14h29

je pense que c'est bon.
j'ai pris ça sur le manuel php, pour le bin2hex.
En ce qui concerne le hash, effctivement j'ai lu qu'il ne fallait plus utiliser md5 mais plutot sha1. Encore que celle-ci à priori été cassé par certains.
Donc effctivement il faut se tourner vers sha256.

**jaymzwise** · 30/07/2007, 14h31

Ok, merci beaucoup pour l'aide

Comparaison de mots de passe PHP-MySQL [MySQL]

PHP & Base de données

Discussions similaires

Partager

Partager