Précautions de sécurité de base

Ceddoc · 11/04/2011, 16h51

Bonjour à tous,

Je suis en train de créer un site en php avec une base de donnée mysql.

C'est une application relativement sensible et j'aimerais éviter de laisser des failles de sécurité trop importantes. Notamment au niveau de la base de donnée et de l'accès aux comptes des utilisateurs.

Pour l'instant j'utilise un hachage md5 pour que les mot de passe ne soient jamais transmits en clair. J'ai aussi essayé de rajouter des contrôles sur mes formulaires et mes urls pour éviter les injections SQL. J'ai aussi créé un utilisateur mysql avec des droits d'accès le plus bas possible "au cas ou".

Donc j'aimerais savoir si il y a d'autres précautions élémentaires à prendre, ainsi qu'avoir un conseil sur la façon de se connecter à la base de donnée (pour l'instant le login/mdp pour se connecter à la base est dans un fichier php que j'include lorsque j'ai besoin de requêter).

Merci d'avance.

radicaldreamer · 11/04/2011, 16h53

- Utiliser PDO
- Se protéger des attaques dites CSRF
- Utiliser les Sessions (pas pour des données sensibles)

Ceddoc · 11/04/2011, 17h00

Citation:

Envoyé par radicaldreamer

- Utiliser PDO
- Se protéger des attaques dites CSRF
- Utiliser les Sessions (pas pour des données sensibles)

Je vais me renseigner sur PDO et les attaques CSRF.

Mais pour ce qui est des Session je ne suis pas sûr de bien comprendre, ça voudrait dire qu'il faut privilégier des passages de variables par la variable $_SESSION au lieu de $_POST ou $_GET ou bien qu'il faut protéger chaque page grâce à une variable de $_SESSION (tester $_SESSION['mavariabledeconnection'] à chaque début de page? (ce que je fais actuellement)).

Merci pour la réponse rapide en tous cas.

11/04/2011, 16h51	#1
Ceddoc Membre éclairé Cédric Développeur Java / Web / .NET Inscription : janvier 2009 Messages : 327 Détails du profil Informations personnelles : Nom : Cédric Âge : 23 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Développeur Java / Web / .NET Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : janvier 2009 Messages : 327 Points : 369 Points : 369	Précautions de sécurité de base Bonjour à tous, Je suis en train de créer un site en php avec une base de donnée mysql. C'est une application relativement sensible et j'aimerais éviter de laisser des failles de sécurité trop importantes. Notamment au niveau de la base de donnée et de l'accès aux comptes des utilisateurs. Pour l'instant j'utilise un hachage md5 pour que les mot de passe ne soient jamais transmits en clair. J'ai aussi essayé de rajouter des contrôles sur mes formulaires et mes urls pour éviter les injections SQL. J'ai aussi créé un utilisateur mysql avec des droits d'accès le plus bas possible "au cas ou". Donc j'aimerais savoir si il y a d'autres précautions élémentaires à prendre, ainsi qu'avoir un conseil sur la façon de se connecter à la base de donnée (pour l'instant le login/mdp pour se connecter à la base est dans un fichier php que j'include lorsque j'ai besoin de requêter). Merci d'avance.
	00

11/04/2011, 16h53	#2
radicaldreamer Membre éprouvé Guillaume Développeur Web Inscription : décembre 2007 Messages : 353 Détails du profil Informations personnelles : Nom : Guillaume Âge : 21 Localisation : France, Haut Rhin (Alsace) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : décembre 2007 Messages : 353 Points : 473 Points : 473	- Utiliser PDO - Se protéger des attaques dites CSRF - Utiliser les Sessions (pas pour des données sensibles) __________________ Si ce que tu as à dire n'est pas plus beau que le silence, alors tais toi. - Pensez à voter pour les messages qui vous ont été utiles ainsi que de mettre
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email