[Cookies] PHP et SSL [Résolu]

orzabal · 12/04/2006, 13h05

Bonjour,

Je veux enregistrer certaines données bancaires dans ma base de données MYSQL. Afin de sécuriser ces données bancaires, je viens d'installer un serveur SSL sur mon site.

Je voulais savoir si je devais faire un autre cryptage en PHP, ou encore si je dois utiliser des fonctions spéciales en PHP lorsque j'enregistre les informations dans la BDD pour que mes données soient vraiment sécurisées.

Je ne sais pas si j'ai été assez clair donc n'hésitez pas à me poser des questions :-)

merci à vous

RO

titoumimi · 12/04/2006, 13h10

n'hésites pas à stoquer tout tes mots de passe en MD5 dans la DB, ca coute rien

orzabal · 12/04/2006, 13h16

Oui c'est ce que je comptais faire de toute façon :-).

Mais en fait sur la theorie, si j'enregistre tel quel le numero de CB dans la BDD, le transfert est-il sécurisé ??

En fait je ne sais pas si le transfert des données vers la BDD est automatiquement sécurisé avec SSL ou s'il faut que j'utilise des fonctions spéciales en PHP pour le SSL

c'est un peu difficile à expliquer mon truc

Maxoo · 12/04/2006, 13h37

SSL n'a rien a voir avec php, en fait ca fait un https et c'est tout

le transfert est donc sécurisé entre ton poste client et le serveur.

apres entre php et mysql, ca dépend de ton hébergeur, mais il devrait pas y avoir de probleme, car c'est en local.

orzabal · 12/04/2006, 13h47

Ok je vois ce que tu veux dire.

Merci beaucoup pour cette confirmation

:-)

Hervé Saladin · 12/04/2006, 13h49

Si ton souci est la sécurité :
- pense a faire attention aux injections sql (regarde sur google si tu ne sais pas ce que c'est).
- ne stocke aucune donnée sensible ou identifiant dans des cookies, utilise plutot les sessions.
- fais bien attention à la gestion des droits au niveau des utilisateurs et de la base de données

évidament, il faut aussi penser à une configuration rigoureuse de ton serveur (le systeme ainsi que TOUS les logiciels qui tournent dessus) et des éléments du réseau (routeurs, firewall etc ...).

Juste un pti truc :

Citation:

Envoyé par orzabal

si j'enregistre tel quel le numero de CB dans la BDD

je veux pas dire de betise, mais il me semble que c'est strictement interdit (à verifier aupres de la cnil)

Maxoo · 12/04/2006, 13h52

tout a fait.

mais ca coute combien de s'enregistrer à la CNIL ?

Hervé Saladin · 12/04/2006, 14h00

j'en sais rien, mais je crois que c'est pas une question d'inscription ou de déclaration. Pour les n° de CB c'est interdit tout court, point.
Apres, je suppose que les banques et certains organismes doivent avoir des dérogations, mais à mon avis ca ne doit pas s'obtenir facilement. Bref, je suis pas un expert en droit de l'informatique, c'est pour ça que je pense qu'il est plus sage de se renseigner aupres de la cnil.

orzabal · 12/04/2006, 14h02

Je n'ai pas besoin de cookies (je ne sais même pas si c'est possible avec un htpps de fraire un cookie) et les droits sur les tables sont bien gérés. j'ai également un firewall sur ma machine. Sans être un pro de la sécurité je crois avoir fait le nécessaire de ce côté :-)

Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins. Après une fois qu'on a validé le paiement, les CB sont effacés dans la bdd.

C'est un peu comme quand nos clients nous donnent leur numero de CB par téléphone. On les saisit quelque part et des qu'on a utilisé la CB pour le paiement on doit se "débarasser" du numero de CB. Je pense que c'est pareil dans ce cas là.

Je vais me renseigner quand même la dessus, tu me mets le doute :-)

Hervé Saladin · 12/04/2006, 14h08

Citation:

Envoyé par orzabal

Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins

je suis pas assez compétent (ou peut être trop nul

)dans ce domaine pour te dire si tu as ou pas le droit de faire ça.
En revanche, ce que je sais, c'est que pour les paiements en ligne on n'est pas censé enregistrer le n° de cb, même temporairement. Au moment de saisir le n° et de valider le paiement, la transaction se fait directement entre le client et le serveur de la banque de ta boite en https. Ce mécanisme n'est pas visible pour l'utilisateur, et la banque te fournit les outils nécessaire à la bonne integration du module de paiement dans ton appli sous forme d'APIs.

orzabal · 12/04/2006, 14h20

En fait l'appli que l'on a est assez spéciale et on ne peut pas passer directement par une banque comme pour une boutique en ligne (je passe les datails).

J'ai appelé la CNIL et il est possible de conserver les données bancaires jusqu'à utilisation de celles ci. Il aut toutefois faire une déclaration à La CNIL

http://www.cnil.fr/index.php?id=1357

Hervé Saladin · 12/04/2006, 14h24

ok, merci pour ces infos, ca peut toujours etre utile a savoir

orzabal · 12/04/2006, 14h28

Oui :-) Nous on est déjà déclaré à la Cnil donc pas de problème :-)

12/04/2006, 13h05	#1
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	[Cookies] PHP et SSL Bonjour, Je veux enregistrer certaines données bancaires dans ma base de données MYSQL. Afin de sécuriser ces données bancaires, je viens d'installer un serveur SSL sur mon site. Je voulais savoir si je devais faire un autre cryptage en PHP, ou encore si je dois utiliser des fonctions spéciales en PHP lorsque j'enregistre les informations dans la BDD pour que mes données soient vraiment sécurisées. Je ne sais pas si j'ai été assez clair donc n'hésitez pas à me poser des questions :-) merci à vous RO
	00

12/04/2006, 13h16	#3
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	merci Oui c'est ce que je comptais faire de toute façon :-). Mais en fait sur la theorie, si j'enregistre tel quel le numero de CB dans la BDD, le transfert est-il sécurisé ?? En fait je ne sais pas si le transfert des données vers la BDD est automatiquement sécurisé avec SSL ou s'il faut que j'utilise des fonctions spéciales en PHP pour le SSL c'est un peu difficile à expliquer mon truc
	00

12/04/2006, 13h37	#4
Maxoo Expert Confirmé Maxime Pasquier Expert PHP Inscription : novembre 2004 Messages : 2 126 Détails du profil Informations personnelles : Nom : Maxime Pasquier Âge : 28 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Expert PHP Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2004 Messages : 2 126 Points : 2 602 Points : 2 602	SSL n'a rien a voir avec php, en fait ca fait un https et c'est tout le transfert est donc sécurisé entre ton poste client et le serveur. apres entre php et mysql, ca dépend de ton hébergeur, mais il devrait pas y avoir de probleme, car c'est en local. __________________ Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur. Mon espace Développez : mes Créations. Rencontre & Carte des Membres de Developpez.com, version 3.0
	00

12/04/2006, 13h47	#5
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	ok Ok je vois ce que tu veux dire. Merci beaucoup pour cette confirmation :-)
	00

12/04/2006, 13h52	#7
Maxoo Expert Confirmé Maxime Pasquier Expert PHP Inscription : novembre 2004 Messages : 2 126 Détails du profil Informations personnelles : Nom : Maxime Pasquier Âge : 28 Localisation : France, Loire Atlantique (Pays de la Loire) Informations professionnelles : Activité : Expert PHP Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : novembre 2004 Messages : 2 126 Points : 2 602 Points : 2 602	tout a fait. mais ca coute combien de s'enregistrer à la CNIL ? __________________ Pour une bien meilleur lisibilité, utilisez la balise [code], c'est le [#] dans votre éditeur. Mon espace Développez : mes Créations. Rencontre & Carte des Membres de Developpez.com, version 3.0
	00

12/04/2006, 13h10	#2
titoumimi Expert Confirmé Inscription : décembre 2003 Messages : 3 717 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : décembre 2003 Messages : 3 717 Points : 3 082 Points : 3 082	n'hésites pas à stoquer tout tes mots de passe en MD5 dans la DB, ca coute rien
	00

12/04/2006, 14h00	#8
Hervé Saladin Membre chevronné Développeur Web Inscription : décembre 2004 Messages : 636 Détails du profil Informations personnelles : Âge : 30 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : décembre 2004 Messages : 636 Points : 689 Points : 689	j'en sais rien, mais je crois que c'est pas une question d'inscription ou de déclaration. Pour les n° de CB c'est interdit tout court, point. Apres, je suppose que les banques et certains organismes doivent avoir des dérogations, mais à mon avis ca ne doit pas s'obtenir facilement. Bref, je suis pas un expert en droit de l'informatique, c'est pour ça que je pense qu'il est plus sage de se renseigner aupres de la cnil. __________________ Ne cliquez pas sur ce lien
	00

12/04/2006, 14h02	#9
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	cb Je n'ai pas besoin de cookies (je ne sais même pas si c'est possible avec un htpps de fraire un cookie) et les droits sur les tables sont bien gérés. j'ai également un firewall sur ma machine. Sans être un pro de la sécurité je crois avoir fait le nécessaire de ce côté :-) Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins. Après une fois qu'on a validé le paiement, les CB sont effacés dans la bdd. C'est un peu comme quand nos clients nous donnent leur numero de CB par téléphone. On les saisit quelque part et des qu'on a utilisé la CB pour le paiement on doit se "débarasser" du numero de CB. Je pense que c'est pareil dans ce cas là. Je vais me renseigner quand même la dessus, tu me mets le doute :-)
	00

12/04/2006, 14h20	#11
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	banque En fait l'appli que l'on a est assez spéciale et on ne peut pas passer directement par une banque comme pour une boutique en ligne (je passe les datails). J'ai appelé la CNIL et il est possible de conserver les données bancaires jusqu'à utilisation de celles ci. Il aut toutefois faire une déclaration à La CNIL http://www.cnil.fr/index.php?id=1357
	00

12/04/2006, 14h24	#12
Hervé Saladin Membre chevronné Développeur Web Inscription : décembre 2004 Messages : 636 Détails du profil Informations personnelles : Âge : 30 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : décembre 2004 Messages : 636 Points : 689 Points : 689	ok, merci pour ces infos, ca peut toujours etre utile a savoir __________________ Ne cliquez pas sur ce lien
	00

12/04/2006, 14h28	#13
orzabal Invité de passage Inscription : juillet 2003 Messages : 25 Détails du profil Informations forums : Inscription : juillet 2003 Messages : 25 Points : 3 Points : 3	yep Oui :-) Nous on est déjà déclaré à la Cnil donc pas de problème :-)
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email