[Sécurité] Diverses questions de sécurité

[altadeos]

Bonjour tout le monde!!

Je me pose certaines questions sur la sécurité au niveau du php et des applications WEB.

Tout d'abord je voudrais savoir comment faire pour dénicher des failles de sécurité, qu'elles sont vos méthodes, avez vous des astuces pour les dénicher,etc etc

Ensuite je voudrais avoir une précision sur htmlentities().
Je voudrais savoir quand l'utiliser car je n'ai pas trop compris.
Dois-je l'utiliser par exemple quand je récupère des variables en GET/POST ouo sur toutes mes variables?

Enfin je voudrais savoir si md5 suffit lorsque l'on veut dissimuler un mot de passe.

Je développe un programme de gestion de pointages en php et j'utilise pour le moment les sessions je n'utilise pas les cookies et je crypte les utilisateurs et mots de passe sous une certaine syntaxe en md5 dans un fichier sur le serveur. Que pensez-vous de ma politique de sécurité?

Merci d'avance pour vos réponses et bonne continuation!!

[berceker united]

Citation:

Envoyé par altadeos

Bonjour tout le monde!!

Je me pose certaines questions sur la sécurité au niveau du php et des applications WEB.

Tout d'abord je voudrais savoir comment faire pour dénicher des failles de sécurité, qu'elles sont vos méthodes, avez vous des astuces pour les dénicher,etc etc

Ensuite je voudrais avoir une précision sur htmlentities().
Je voudrais savoir quand l'utiliser car je n'ai pas trop compris.
Dois-je l'utiliser par exemple quand je récupère des variables en GET/POST ouo sur toutes mes variables?

Enfin je voudrais savoir si md5 suffit lorsque l'on veut dissimuler un mot de passe.

Je développe un programme de gestion de pointages en php et j'utilise pour le moment les sessions je n'utilise pas les cookies et je crypte les utilisateurs et mots de passe sous une certaine syntaxe en md5 dans un fichier sur le serveur. Que pensez-vous de ma politique de sécurité?

Merci d'avance pour vos réponses et bonne continuation!!

mmhh! Il y a une taffe.
Mais non tu te poses les bonnes question .
Il y a des bonnes chose à avoir en tête.
- Ne pas faire confiance au données émis par l'utilisateur même si c'est ta chere maman .
- Contrôler l'existance des données.
- Ne pas faire tester les valeur par la base de données en comptant sur lui pour te dire que ça va pas. Exemple : Un dealer de drogue te dis que c'est de la bonne tu peux y aller . Tu as un doute et pour tester tu te pique en te disant "je vais voir comment mon corps réagis si c'est va, je prend si je ne vais pas bien je ne prend pas". Le problème c'est que si le dealer t'a fillé du whiskas ben il se pourrait que tu n'aurais pas l'occasion d'aller le réclamer au dealer .


Pour le htmlentities il convertie les caractères spéciaux tous simplement en gros lorsqu'il voit un é il le remplace par un &eacutes. Ceci peut servire pour éviter qu'une personne injecte du code HTML et surtout javascript dans un bloque de texte.

[Sub0]

Nous avons beaucoups discuté de la sécurité dans le sujet suivant (11 pages, et encore, j'avais fait un peu de ménage au début) :
http://www.developpez.net/forums/d12254/php/langage/sessions/securite-securite-totale-espace-membre/

En voici un résumé : http://matthieu.developpez.com/authentification/
Cela devrait répondre à quelques unes de tes questions (enfin j'espère).
Si tu as des questions précises, n'hésite pas, à+

[altadeos]

Merci pour vos réponses!!

En ce qui concerne le grain de sel comme j'utilise des fichiers pour l'authentification je devrai si j'ai bien compris envoyer le mot de passe (mdp) au script php puis dans le script php ajouter le grain de sel (gds) et vérifier si md5($mdp.$gds) existe dans le fichier?

Merci d'avance de vos réponses!!