Correct. Ils ont "bêtement" substitué un sha1 ou je ne sais quoi par password_hash or c'est faux car le grain de sel généré lors de l'appel à password_hash étant différent, deux invocations de password_hash, avec les mêmes paramètres, a une improbable chance de générer le même hash.

1) le texte qui dit qu'il suffit de comparer 2 résultats de password_hash n'est plus d'actualité

> Lorsqu'un visiteur voudra se connecter, il vous enverra son mot de passe que vous hacherez à nouveau et que vous comparerez avec celui stocké dans la base de données. Si les deux mots de passe hachés sont identiques, alors cela signifie que le visiteur a rentré le même mot de passe que lors de son inscription.

2) le code doit être adapté :

• supprimer AND pass = :pass de la requête SELECT
• du coup retirer le bind de :pass (soit la partie 'pass' => $pass_hache)
• changer le SELECT id FROM en SELECT id, pass FROM - à moins d'un SELECT * FROM
• virer la ligne $pass_hache = password_hash($_POST['pass'], PASSWORD_DEFAULT);
• enfin faire intervenir password_verify : if (!$resultat) devient if (!$resultat || !password_verify($_POST['pass'], $resultat['pass']))

EDIT : le cours a été corrigé mais le code aurait pu être bien meilleur :

• le password_verify aurait pu être déplacé dans le else : inutile de tenter un password_verify si la requête ne renvoie rien. Heureusement que PHP renvoie NULL pour FALSE['pass'] et que password_verify accepte vraisemblablement NULL (puis cast vers string) sans lever la moindre erreur.
• la répétition du message d'erreur ("Mauvais identifiant ou mot de passe !") aurait pu être évitée via un ou logique comme proposé dans ce même post

-
Edité par julp 25 juin 2018 à 23:13:55