Pages Web dynamiques et bases de données

Transcription

1 Cours 2 Pages Web dynamiques et bases de données Une page Web dynamique est générée automatiquement grâce à l exécution d un script (PHP par exemple). C est le résultat de l exécution de ce script (code HTML) qui est renvoyé par le serveur au client. Pour générer ce code HTML, le script peut avoir besoin de données qui sont stockées en dehors du script, notamment dans des bases de données. Dans ce cas, lors de l exécution du script, l interpréteur PHP interrogera la base de données via des requêtes SQL et utilisera les informations renvoyées pour générer le code HTML. Le processus de génération de pages Web dynamiques peut être représenté par la figure 2.1. Figure 2.1 Schéma de requête en PHP avec accès à une base de données Remarque : Lors de l exécution d un script, il peut y avoir plusieurs requêtes SQL. Les bases de données d un site Web vont pouvoir stocker des informations utiles pour ce site. La base de données d un forum va stocker tous les messages postés. Pour un site marchand, la base de données contiendra la liste des clients/fournisseurs/marchandises. Dans le cas d un moteur de recherche, la base contiendra les informations extraites de toutes les pages indexées. Dans ce chapitre, nous expliquerons comment, dans un script PHP, se connecter à une base de données et interroger cette base. Pour cela, nous utiliserons la librairie PDO qui permet de se connecter à n importe quel type de base de données. L utilisation de cette librairie se faisant à l aide d un objet prédéfini, nous commencerons ce cours par une introduction rapide à la programmation objet en PHP. 21

2 I.U.T. de Villetaneuse 2.1 Programmation orientée objet en PHP Le langage PHP possède une couche objet dont la syntaxe est très proche de celle du langage JAVA. Le langage PHP implémente donc les classes, l héritage, les interfaces, etc. Le but de cette partie n est pas de savoir programmer en orienté objet en PHP mais de donner un rapide aperçu sur la création de classes, l instanciation de classes et l appel de méthodes. Les personnes souhaitant acquérir une connaissance plus approfondie sur la programmation orientée objet en PHP pourront trouver des cours et tutoriels sur le Web 1. La définition d une classe se fait à l aide du mot-clé class suivi du nom de la classe. Les accolades qui suivent contiennent alors les attributs (précédés du symbole $) et méthodes de cette classe. Chaque attribut ou méthode est précédé du mot-clé public, protected ou private suivant qu il soit publique, protégé ou privé. Rappel : Un attribut (ou méthode) est publique s il est accessible partout dans le programme. Il est privé (respectivement protégé) s il est accessible uniquement à l intérieur de la classe (respectivement à l intérieur de la classe et des ses descendants). Pour accéder aux attributs d un objet, on utilise la syntaxe $objet->attribut. À l intérieur d une méthode, $this fait référence à l objet sur lequel est appelée la méthode. Les attributs ou méthodes statiques (appartenant à une classe et non à un objet) sont précédés du mot clé static. Pour accéder à ces attributs ou méthodes, il faut faire précéder le nom de la méthode ou de l attribut par le nom de la classe suivi de "::". De la même manière, les constantes dans une classe sont définies à l aide du mot-clé const et sont accessibles de la même manière que les attributs statiques. Voici un exemple de définition et d utilisation d une classe en PHP. 1 <?php 2 class Joueur 3 { 4 public $login; 5 private $score; 6 const NOM_JEU = "Tarot"; 7 8 public function construct($ch,$ent) 9 { 10 //Teste si la valeur $ent correspond à un entier 11 if (((string) $ent) === ((string)(int) $ent)) 12 $this ->score = $ent; 13 else 14 $this ->score = 0; if (trim($ch)!= ) 17 $this ->login = $ch; 18 else 19 $this ->login = anonymous ; 20 } public function score() 23 { 24 return $this->score; 25 } 26 public function gagne($score) 27 { 28 if (((string) $score) === ((string)(int) $score)) 29 $this ->score += $score; 30 } 1. par exemple 22

3 Département informatique 31 } 32 echo <p>jeu :. Joueur::NOM_JEU. </p> ; 33 $j1 = new Joueur( sky,33); 34 $j2 = new Joueur( Dark,755); 35 $j1->gagne(180); 36 echo <p> Scores :. $j1->login. a. $j1->score(). points <br/> ; 37 echo $j2->login. a. $j2->score(). points. </p> ; 38?> L exécution du code précédent affichera : 1 Jeu : Tarot 2 3 Scores : sky a 213 points 4 Dark a 755 points. Remarque : Le constructeur d une classe est la méthode construct. 2.2 PHP et bases de données L accès aux bases de données dans un script PHP se fait à l aide de la librairie PHP Data Objects 2 (PDO). Cette librairie implémente une interface entre PHP et n importe quel système de gestion de base de données (SGBD) tel que Oracle, MySQL ou PostgreSQL. L utilisation de la librairie PDO présente plusieurs avantages : elle permet d interroger une base de données quel que soit le SGBD. Le fait de changer de SGBD nécessite de modifier une seule ligne de code dans le script PHP. elle facilite l utilisation des requêtes préparées 3 permettant de créer des requêtes plus sécurisées. Les requêtes préparées sont des requêtes SQL qui se déroulent en deux temps. La requête est tout d abord préparée par le SGBD, c est-à-dire analysée et optimisée. La requête est ensuite exécutée, c est-à-dire que la base de données est interrogée et les résultats envoyés au script PHP. Les requêtes préparées peuvent contenir des marqueurs de place (paramètres) dont la valeur est donnée au moment de l exécution de la requête. Les requêtes préparées permettent d accélérer l interrogation de la base de données si une requête préparée est exécutée plusieurs fois (elle ne sera préparée qu une seule fois). De plus, l utilisation des marqueurs permet une sécurisation de la base de données en diminuant le risque d attaque par injection SQL Connexion à la base de données L accès à la base de données se fait à travers l utilisation d un objet de la classe PDO. La connexion se fait lors de la construction de cet objet. Le constructeur prend en paramètre 3 valeurs (string) : le DSN, le login et le mot de passe 4. Le paramètre Data Source Name (DSN) est une chaîne de caractères contenant les informations requises pour se connecter à la base. Il est constitué du nom du pilote PDO (nom du SGBD), suivi d une syntaxe spécifique précisant le serveur où se situe la base de donnée ainsi que le nom de cette base. À titre d exemple, si la base de données (SGBD MySQL) s appelle bdcours et se trouve sur le serveur local, et si les login et mot de passe sont respectivement utilisateur et code, alors la création de l objet PDO permettant la connexion à la base se fait selon l instruction : 2. Il existe d autres moyens d accéder à une base de données mais qui deviennent obsolètes par rapport à PDO. 3. Il existe d autres méthodes pour interroger la base de données qui ne sont pas décrites dans ce cours. 4. Les deux derniers paramètres sont optionnels. 23

4 I.U.T. de Villetaneuse 1 $db = new PDO( mysql:host=localhost;dbname=bdcours, utilisateur, code ); Si la connexion à la base de données échoue, il est clair que le script PHP ne pourra pas fonctionner correctement puisque les requêtes SQL ne pourront être effectuées. Il faut donc dans ce cas arrêter le script PHP. Le langage PHP gérant les exceptions, en cas de problème, la connexion à la base de données lèvera une exception qu il est préférable d attraper. Ainsi, la connexion se fera selon la syntaxe : 1 try 2 { 3 $db = new PDO( mysql:host=localhost;dbname=bdcours, utilisateur, code ); 4 } 5 catch (PDOException $e) 6 { 7 // On termine le script en affichant le n de l erreur ainsi que le message 8 die( <p> La connexion a échoué. Erreur[.$e->getCode(). ] :.$e->getmessage(). </p> ); 9 } Important : Il ne faut se connecter qu une seule fois à la base de données. Il est donc conseiller d écrire le code précédent dans un fichier à part, par exemple connexion.php. Chaque script PHP utilisant la base de données commencera alors par l instruction require_once( connexion.php );. Ceci permet en plus de marquer vos login et mot de passe uniquement dans le fichier connexion.php (que vous ne montrez à personne) et non pas dans tous vos scripts PHP. Remarque : Il faut également ajouter juste après l instanciation de l objet PDO (dans le bloc try) les instructions 1 $bd->query( SET NAMES utf8 ); 2 $bd-> setattribute (PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); La première instruction indique que le script PHP communique avec la base de données en utf-8. La seconde indique qu en cas d erreur, une exception doit être levée Interrogation de la base de données La préparation d une requête se fait via la méthode prepare de la classe PDO. Cette méthode prend en paramètre une requête SQL (sous la forme d une chaîne de caractères) et retourne un objet de la classe PDOStatement correspondant à la requête optimisée. En cas d erreur lors de la préparation, une exception PDOException est levée. La requête est ensuite exécutée grâce à la méthode execute de la classe PDOStatement. Elle s applique à l objet retourné par la méthode prepare. En cas d erreur, une exception est également levée. La récupération de la réponse d une requête se fait via la méthode fetch. Celle-ci retourne l enregistrement suivant (ligne suivante) du résultat de la requête, ou false en cas d erreur. Le type retourné dépend de la valeur passée en paramètre de la méthode fetch : PDO::FETCH_ASSOC : la valeur retournée est un tableau associatif. Les clés sont les noms des colonnes dans la requête et les valeurs celles de l enregistrement. PDO::FETCH_NUM : les clés associées aux valeurs sont les indices des colonnes de la requête. PDO::FETCH_BOTH : le tableau retourné contient deux fois chaque valeur. Les clés sont les noms et les indices des colonnes de la requête (le tableau correspond à l union des deux premiers tableaux). C est la valeur par défaut. PDO::FETCH_OBJ : la valeur retournée est cette fois-ci un objet. Les noms des attributs sont les noms de colonnes de la requête, les valeurs de ces attributs étant les valeurs de l enregistrement. 24

5 Département informatique Voici un exemple d interrogation d une base de données. Supposons que l on ait la table Personnes contenant comme premiers enregistrements les lignes suivantes. Nom Grappe David Borne Toulouse Prenom Roland Julien Sylvie Sophie L exécution du code 1 try 2 { 3 $req = $bd->prepare( SELECT Nom, Prenom FROM Personnes ); 4 $req->execute(); 5 $tab = $req->fetch(pdo::fetch_assoc); 6 echo <p> Nom :. $tab[ Nom ]. et prénom :. $tab[ Prenom ]. </p> ; 7 $tab = $req->fetch(pdo::fetch_num); 8 echo <p> Nom :. $tab[0]. et prénom :. $tab[1]. </p> ; 9 $tab = $req->fetch(pdo::fetch_both); 10 echo <p> Nom :. $tab[0]. et prénom :. $tab[ Prenom ]. </p> ; 11 $obj = $req->fetch(pdo::fetch_obj); 12 echo <p> Nom :. $obj->nom. et prénom :. $obj->prenom. </p> ; 13 } 14 catch(pdoexception $e) 15 { 16 die( <p> Erreur[.$e->getCode(). ] :.$e->getmessage(). </p> ); 17 } affichera alors 1 Nom : Grappe et prénom : Roland 2 Nom : David et prénom : Julien 3 Nom : Borne et prénom : Sylvie 4 Nom : Toulouse et prénom : Sophie Lors du premier appel, fetch retourne le tableau correspondant à la première ligne de la table Personnes. Comme la valeur PDO::FETCH_ASSOC est passée en argument, le tableau retourné est 1 Array 2 ( 3 [Nom] => Grappe 4 [Prenom] => Roland 5 ) Lors du deuxième appel, fetch retourne les informations correspondant à la deuxième ligne de la table car à chaque appel, fetch passe automatiquement à la ligne suivante. Comme PDO::FETCH_NUM est passé en paramètre, la valeur retournée est 1 Array 2 ( 3 [0] => David 4 [1] => Julien 5 ) Le tableau retourné par le troisième appel est 1 Array 2 ( 3 [Nom] => Borne 25

6 I.U.T. de Villetaneuse 4 [0] => Borne 5 [Prenom] => Sylvie 6 [1] => Sylvie 7 ) Lors du 4ème appel, l objet retourné contient deux attributs nom et prénom dont les valeurs sont respectivement Toulouse et Sophie. Pour afficher tous les résultats d une requête, il faut donc appeler la méthode fetch autant de fois qu il y a de lignes dans la réponse de la requête SQL. Il faut donc utiliser une boucle. Pour cela, on utilise le fait que la méthode fetch retourne false en cas d erreur, notamment s il n y a plus d enregistrement. L affichage de tous les personnes de la table se fait alors de la manière suivante : 1 //Préparation et exécution 2 while($rep = $req->fetch(pdo::fetch_assoc)) 3 { 4 echo <p> Nom :. $rep[ Nom ]. et prénom :. $rep[ Prenom ]. </p> ; 5 } Marqueurs de place Les marqueurs de place permettent de marquer des endroits dans la requête SQL qui seront remplacés par des valeurs au moment de l exécution de cette requête. Les marqueurs permettent donc d exécuter plusieurs fois un même requête avec des valeurs de marqueurs différentes. De plus, lorsque les valeurs des marqueurs sont utilisés pour insérer dans la requête SQL des valeurs saisies par l utilisateur, ils permettent de sécuriser la base de données des attaques par injection SQL. Dans une requête SQL, un marqueur de place a un nom précédé du symbole ":". Avant l exécution de la requête, il faudra alors donner une valeur à tous les marqueurs de place contenus dans la requête, grâce à la méthode bindvalue. Cette méthode prend en paramètre un nom de marqueur et sa valeur 5. Voici un exemple de requête préparée avec des marqueurs de place 6 : 1 $couleur = rouge ; 2 $req = $bd->prepare( SELECT nom, couleur, calories 3 FROM fruit 4 WHERE calories < :calories AND couleur = :couleur ); 5 $req->bindvalue( :calories, 150); 6 $req->bindvalue( :couleur, $couleur); 7 $req->execute(); Lors de l exécution, les marqueurs :calories et :couleur sont respectivement remplacés par les valeurs 150 et rouge. La requête est donc : SELECT nom, couleur, calories FROM fruit WHERE calories < 150 AND couleur= rouge 2.3 Sécurité Il existe plusieurs failles de sécurité importantes au niveau de la programmation d un site Web. Il est extrêmement important de contrer ces failles pour sécuriser son site Web. Bien que ce ne soit pas les seules (loin de là!), elles font partie des failles couramment utilisées pour pirater des sites Web ou les bases de données de ces sites. 5. La méthode bindvalue peut également prendre un troisième paramètre indiquant le type de la valeur (PDO::PARAM_INT,PDO::PARAM_STR, etc). Ce paramètre est parfois nécessaire pour construire des requêtes syntaxiquement correctes (notamment avec la clause LIMIT). 6. Exemple issu du site PHP.net 26

7 Département informatique Attaques par injection SQL Ce type d attaques consiste à modifier une requête SQL pour obtenir un résultat différent de celui prévu. Supposons que l on ait une table Commandes dans la base de données contenant les commandes de chaque client. Cette table pourrait être du type 7 : Id IdC NomP Qte 1 1 Canapé Lit Table Voiture 1 Le champ Id correspond à la clé primaire, IdC est l identifiant du client (clé étrangère), et NomP et Qte désignent respectivement le nom du produit et la quantité demandée. Pour afficher la liste des commandes d un utilisateur, on pourrait être tenté d écrire le code PHP suivant : 1 if( isset ($_GET[ id ])) 2 { 3 try 4 { 5 $req = $bd->prepare( SELECT * FROM Commandes WHERE IdC =. $_GET[ id ]); 6 $req->execute(); 7 while($t = $req->fetch(pdo::fetch_assoc)) 8 echo <p>. $t[ nomp ].. $t[ Qte ]. </p> ; 9 } 10 catch(pdoexception $e) 11 { 12 die( <p> Erreur[.$e->getCode(). ] :.$e->getmessage(). </p> ); 13 } 14 } Ainsi, l appel du script via l url afficherait les deux premières lignes de la table puisque l identifiant du client est 1. Cependant, si le script est appelé via l url OR 1=1, la requête devient : SELECT * FROM Commandes WHERE IdC = 1 OR 1=1 Le test 1=1 étant toujours vrai, le script affichera la liste de toutes les commandes, même celles qui ne sont pas celles de l utilisateur! Par ailleurs, l appel du script via l url : * FROM Commandes affichera toutes les commandes de l utilisateur dont l identifiant est 1, mais supprimera également tous les enregistrements de la table! Il existe plusieurs méthodes pour se protéger de telles attaques. On peut protéger la valeur donnée par l utilisateur dans une requête SQL en la mettant entre apostrophes, grâce à la méthode quote. Ainsi, en remplaçant la ligne 5 par : 1 $req = $bd->prepare( SELECT * FROM Commandes WHERE IdC =. $bd->quote($_get[ id ])); la requête avec la dernière url devient : SELECT * FROM Commandes WHERE IdC = 1;DELETE * FROM Commandes 7. Cette table est simpliste mais suffisante pour montrer la faille de sécurité. 27

8 I.U.T. de Villetaneuse Il n y a donc qu une requête SQL qui affiche les commandes appartenant à l utilisateur dont l identifiant est 1;DELETE * FROM Commandes. Une façon beaucoup plus efficace (et fortement conseillée) est d utiliser un marqueur de place. 1 $req = $bd->prepare( SELECT * FROM Commandes WHERE IdC = :ident ); 2 $req->bindvalue( :ident,$_get[ id ]); Ainsi, la valeur saisie par l utilisateur est automatiquement protégée car elle est comprise comme une valeur (et non un test ou une valeur suivie d une requête) Failles XSS La faille XSS (pour cross-site scripting) est une des failles les plus importantes. Elle consiste à insérer du code javascript 8 (ou autre) qui sera interprété par le navigateur. Supposons que l on ait une table Personnes contenant Nom Grappe David Malveillant Prenom Roland Julien <script>confirm("attaque") ;</script> Il est clair que la dernière ligne de cette table n est pas correcte. Un utilisateur malveillant a inséré du code javascript comme valeur pour le champ Prenom. Supposons maintenant qu un script PHP affiche toutes les personnes de la table (c.f. code de la section 2.2.2). Lorsque le script sera exécuté, il enverra au navigateur le code HTML 1 <p> Nom : Grappe et prénom : Roland </p> 2 <p> Nom : David et prénom : Julien </p> 3 <p> Nom : Malveillant et prénom : <script>confirm("attaque");</script> </p> Le navigateur recevant ce code HTML interprètera la balise script (balise HTML indiquant que ce qui est à l intérieur est un code javascript à exécuter) et exécutera le code javascript : Figure 2.2 Interprétation du code HTML reçu (faille XSS) Autrement dit, toutes les personnes qui demanderont cette page PHP auront déclenché, à leur insu et à celle du développeur du site, l exécution d un code javascript. Bien évidemment, ce code peut être bien plus gênant que l affichage d une fenêtre! Ce code peut par exemple 9 : faire une redirection (parfois de manière transparente) de l utilisateur (souvent dans un but de hameçonnage), voler des informations, par exemple les sessions et les cookies, 8. Le langage javascript est un langage client, c est-à-dire s exécutant sur le navigateur. 9. Exemples donnés sur Wikipédia. 28

9 Département informatique effectuer des actions sur le site faillible, à l insu de la victime et sous son identité (envoi de messages, suppression de données...), rendre la lecture d une page difficile (boucle infinie d alertes par exemple). Pour se prémunir d une telle attaque, il faut désactiver dans le code HTML généré toutes les balises HTML qui ne sont pas prévues. Pour cela, on peut utiliser la fonction PHP htmlspecialchars. Cette fonction prend en paramètre une chaîne de caractères et en renvoie une autre. La chaîne renvoyée est la même que celle passée en paramètre, excepté que certains caractères spéciaux HTML sont écrits à l aide de leur code HTML. Par exemple, le caractère < sera remplacé par son code <. L appel de la fonction htmlspecialchars( <script>confirm("attaque");</script> ) retournera ainsi <script>confirm("attaque");</script>. Dans le code PHP affichant la liste des personnes, remplacer l instruction : 1 echo <p> Nom :. $rep[ Nom ]. et prénom :. $rep[ Prenom ]. </p> ; par 1 echo <p> Nom :. htmlspecialchars($rep[ Nom ]). et prénom : 2. htmlspecialchars ($rep[ Prenom ]). </p> ; génèrera le code 1 <p> Nom : Grappe et prénom : Roland </p> 2 <p> Nom : David et prénom : Julien </p> 3 <p> Nom : Malveillant et prénom : <script>confirm("attaque");< script > </p> Le navigateur n exécutera aucun code javascript et, interprétant les codes spéciaux, affichera alors Figure 2.3 Interprétation du code HTML reçu (avec correction de la faille XSS) Il faut donc toujours s assurer que les données saisies par l utilisateur soient affichées avec la fonction htmlspecialchars, soit en utilisant cette fonction au moment de l affichage (dans le echo), soit au moment de sauvegarder les données dans la base de données. Remarque : Comme le caractère & est lui-même un caractère HTML spécial (code &), il ne faut appliquer htmlspecialchars qu une seule fois Gestion des mots de passe Il est souvent nécessaire, dans un site Web, que les utilisateurs s authentifient en donnant un login et un mot de passe. Dans ce cas, la base de données doit contenir ces informations. Lors de l authentification, le script PHP, si le login saisi par l utilisateur existe dans la base de données, vérifiera que le mot de passe saisi par l utilisateur est bien le même que celui associé au login dans la base de données. On serait donc tenté d avoir une table MotsDePasse ressemblant à : login jim arn edge pass azerty php123 1maxABC Ainsi, le script d authentification serait : 29

10 I.U.T. de Villetaneuse 1 //On suppose que les login et mot de passe saisis par l utilisateur sont 2 //dans $_POST[ login ] et $_POST[ pass ] 3 $req = $bd->prepare( SELECT pass FROM MotsDePasse WHERE login=:login ); 4 $req->bindvalue( :login,$_post[ login ]); 5 $req->execute(); 6 $res = $req->fetch(pdo::fetch_assoc); 7 if($res) //S il y a une correspondance 8 { 9 if($_post[ pass ]==$res[ pass ]) //Si les mots de passe sont les mêmes 10 { 11 echo <p> Connexion réussie </p> ; 12 $_SESSION[ connecte ] = true; 13 } 14 } Si la portion de script PHP ne présente pas de failles, stocker les mots de passe en clair dans la base de données n est pas sécurisé. En effet, si un individu malveillant accède à toute la table MotsDePasse (grâce à une faille dans le site Web ou parce qu il a les droits pour accéder à cette table), il peut se connecter avec n importe quel compte. De plus, comme les gens utilisent généralement les mêmes mots de passe pour différents sites Web, il peut usurper le compte d un des utilisateurs sur un autre site. Pour contrer cette faille, il faut chiffrer (ou crypter) les mots de passe. Il existe plusieurs algorithmes de chiffrement tels que SHA1 10. Pour chiffrer un mot de passe, on utilise en PHP la fonction sha1 qui prend en paramètre une chaîne de caractères et renvoie la chaîne correspondant au chiffrement de la chaîne passée en paramètre. À titre d exemple, l appel sha1( azerty ) renvoie 9cf95dacd226dcf43da376cdb6cbba L intérêt des fonctions de hachage cryptographique (ou fonctions de chiffrement) est qu il est très facile de chiffrer une chaîne mais très difficile 11 de la décrypter, c est-à-dire de retrouver la valeur azerty à partir de 9cf95dacd226dcf43da376cdb6cbba Les mots de passe dans la base de données doivent donc être stockés déjà chiffrés. On obtient alors la table : login jim arn edge pass 9cf95dacd226dcf43da376cdb6cbba fbed57b01f8b54e14c36fab2b13cbc62 b eabb1ef43b3ea2aec31d7e5bba389b Dans le script d authentification, le test de la ligne 9 sera remplacé par : 1 if(sha1($_post[ pass ])==$res[ pass ]) L individu accédant à la table ne pourra donc pas connaître les mots de passe, il n aura accès qu aux mots de passe chiffrés. Cependant, il pourra générer un très grand nombre de mots de passe chiffrés et comparer les résultats obtenus avec les mots de passe de la table. En cas de correspondance, il aura donc trouver un mot de passe. Ce type d attaque 12 permet de trouver les mots de passe simples 13. Le mot de passe azerty sera testé dès le début puisqu il fait partie des 25 mots de passe les plus utilisés et sera donc vite trouvé. Pour améliorer la sécurité, on ajoute une chaîne spécifique, appelée grain de sel, lors du chiffrement (ou hachage) du mot de passe. On ne chiffre plus alors directement le mot de passe mais la concaténation du mot de passe et du grain de sel. 10. Il existe d autres algorithmes de chiffrement plus difficiles à décrypter, assurant une meilleure sécurité, mais un peu plus difficile à utiliser. 11. La difficulté dépend bien sûr de l algorithme de cryptage utilisé. 12. Plusieurs versions de ce type d attaque existent : attaque par force brute, rainbow table, etc. 13. Il existe notamment sur le Web des dictionnaires donnant la liste des mots de passe les plus courants ainsi que leur version chiffrée. 30

11 Département informatique Supposons que le grain de sel choisi pour le site Web soit 1zetydEEcjel4ek3. La table devient alors : login jim arn edge pass e48f79fe18ac01d06e12b2512b1acb32ce58b16d b3a5f0afa9d0685ed3f6b3948f6ee7a1423d86e7 a20d504672f74cf4c8a7a261a d et le test dans le script est remplacé par : 1 if(sha1($_post[ pass ]. 1zetydEEcjel4ek3 )==$res[ pass ]) 31