vérifier le masque d'un md5()

Répondre
spidetra
WRInaute passionné
WRInaute passionné
 
Messages: 1500
Inscription: 7 Juil 2003

Message le Jeu Avr 27, 2006 12:04

Grosso modo, voilà comment je fait pour une validation par MD5 :

Code: Tout sélectionner
$secret_key="Voici une chaîne une peu compliqué que je suis le seul à connaître, cette chaîne va correspondre à une clé privée. Je ne voudrais pas que n'importe qui puisse venir corrompre le MD5 de mon url. Je rajoute donc des grains de sel dans mon hash histoire de compliqué le travail d'éventuel hacker. Bien sur, ta chaine peut-être un plus courte. "

$md5_in_the_database = MD5( $secret_key . $email );

J'ai pris l'email pour créer le MD5, mais tu prend le champ que tu veux.

dans ton url :

?email=monemail@monemail.com&md5=leMD5_de_ta_DB

Dans ta requête de contrôle tu matche :
- l'email
- et le MD5

pas de regexp, et c'est plus ou moins secure
Haut
psychoreflex
WRInaute passionné
WRInaute passionné
 
Messages: 1123
Inscription: 10 Juil 2005

Message le Jeu Avr 27, 2006 12:14

ça me parait bien, oui.

Mais si le gars bidouille le lien de confirmation et t'envoies un truc du genre :

?email=la-requete-sql-qui-tue


En fait à réception du lien de confirmation, tu le matches et le transformes en md5(), c'est ça ? Donc toute requête est détruite ça revient au même à priori. Maintenant si dans le lien de confirmation, le gars t'envoie un script qui flingue l'instruction de matchage ? (désolé pour Molière)

Personnellement, je préfère controler et filtrer toute donnée avant de faire quoi que ce soit avec.
Mais peut-être suis-je à coté de la plaque ?
Dernière édition par psychoreflex le Jeu Avr 27, 2006 12:23, édité 1 fois.
Haut
spidetra
WRInaute passionné
WRInaute passionné
 
Messages: 1500
Inscription: 7 Juil 2003

Message le Jeu Avr 27, 2006 12:21

J'ai commencé mon post par : grosso modo.

Plus en détail, au niveau de la réception :

Code: Tout sélectionner
if ( $md5_in_the_url == MD5( $email_in_the_url . $secret_key ) {
  // Je peux continuer le MD5 est sécure
  // L'email est sécure
  // a priori c'est Ok
  // rien ne t'empeche de rajouter des regexp, ici. pour encore + de sécurité.
} else {
    // Je stoppe là.
}
Haut
psychoreflex
WRInaute passionné
WRInaute passionné
 
Messages: 1123
Inscription: 10 Juil 2005

Message le Jeu Avr 27, 2006 12:23

Ah ok, donc tu controles quand même la forme des données que l'on envoit.

Bon de toute façon si tout le monde utilise la même technique, ça va vite devenir cadeau pour les loosers. Hacker plutot.
Haut
psychoreflex
WRInaute passionné
WRInaute passionné
 
Messages: 1123
Inscription: 10 Juil 2005

Message le Jeu Avr 27, 2006 12:28

Quelqu'un sait si on peut contourner une regexp ?
Haut
vérifier le masque d'un md5()
Répondre

Si vous avez aimé cette discussion, partagez-la sur vos réseaux sociaux préférés :

Lectures recommandées sur ce thème :

Consultez la description détaillée des produits ou services de Google suivants : Google Feed Fetcher

  • Analyser la classe C de l'adresse IP
    Cet outil vous permet de vérifier si plusieurs sites sont hébergés sur la même classe C (adresse IP du serveur).
  • Analyser le positionnement dans Google
    Cet outil vous permet de vérifier si une ou plusieurs page(s) de votre site arrive(nt) dans les premiers résultats de Google, pour certains mots-clés recherchés.
  • Analyser le positionnement dans Yahoo
    Cet outil vous permet de vérifier si une ou plusieurs page(s) de votre site arrive(nt) dans les premiers résultats de Yahoo, pour certains mots-clés recherchés.


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group Traduction par: phpBB-fr.com, mod SEO par phpbb-seo.com