[Sécurité] Créer un espace membre

Stouille89 · 08/03/2007, 18h56

Bonjour,

je voudrai me lancer dans la création d'un espace membre pour mon futur site.

Pouvez vous me donner les points importants a ne pas oublier pour sont developpement ? surtout au niveau securité...

Par exemple pour le passage du mot de passe saisit par l'utilisateur dans un formulaire aux scripts PHP de traitements (eviter que les PWD ne circul en claire) que dois je faire ?

Merci pour votre aide

vic · 08/03/2007, 19h53

Salut,

Quelques remarques générales :

Désactiver le register globals si ce n'est déjà fait.

Toujours vérifier les données envoyées par l'utilisateur avant de les utiliser. Par exemple, ne jamais mettre un champ de POST ou GET dans une requête SQL sans le vérifier, même si c'est un champ caché. La technique de "SQL injection" reste une des plus utilisées par les hackers de tout bord. Vérifier les longueurs maximales des variables, etc ...

Stocker les informations d'authentification en session, et non pas dans une variable passée de page en page (type "loggedin=true" ...).

Les mots de passe sont toujours envoyés en clair par un formulaire. Le seul moyen de le protéger est d'utiliser une connexion SSL (https) pour la connexion au site. Chose qui est rarement faite, mais seuls les opérateurs du réseau peuvent intercepter des paquets, pas un individu sur sa connexion internet à la maison. On peut donc considérer les communications sures pour un site peu sensible comme un espace membre.

v.

Stouille89 · 08/03/2007, 20h22

je te remercie

pour la securité des formulaire : le mot de passe saisit dans un formulaire ne transite pas de la station de l'utilisateur au serveur ?

vic · 12/03/2007, 23h49

Bien sur le mot de passe transite entre le client et le serveur. En clair si tu es en HTTP, en crypté si tu es en HTTPS.

08/03/2007, 18h56	#1
Stouille89 Nouveau Membre du Club Inscription : novembre 2006 Messages : 142 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 142 Points : 27 Points : 27	[Sécurité] Créer un espace membre Bonjour, je voudrai me lancer dans la création d'un espace membre pour mon futur site. Pouvez vous me donner les points importants a ne pas oublier pour sont developpement ? surtout au niveau securité... Par exemple pour le passage du mot de passe saisit par l'utilisateur dans un formulaire aux scripts PHP de traitements (eviter que les PWD ne circul en claire) que dois je faire ? Merci pour votre aide
	00

08/03/2007, 19h53	#2
vic Membre éprouvé Inscription : août 2002 Messages : 430 Détails du profil Informations forums : Inscription : août 2002 Messages : 430 Points : 408 Points : 408	Salut, Quelques remarques générales : Désactiver le register globals si ce n'est déjà fait. Toujours vérifier les données envoyées par l'utilisateur avant de les utiliser. Par exemple, ne jamais mettre un champ de POST ou GET dans une requête SQL sans le vérifier, même si c'est un champ caché. La technique de "SQL injection" reste une des plus utilisées par les hackers de tout bord. Vérifier les longueurs maximales des variables, etc ... Stocker les informations d'authentification en session, et non pas dans une variable passée de page en page (type "loggedin=true" ...). Les mots de passe sont toujours envoyés en clair par un formulaire. Le seul moyen de le protéger est d'utiliser une connexion SSL (https) pour la connexion au site. Chose qui est rarement faite, mais seuls les opérateurs du réseau peuvent intercepter des paquets, pas un individu sur sa connexion internet à la maison. On peut donc considérer les communications sures pour un site peu sensible comme un espace membre. v.
	00

08/03/2007, 20h22	#3
Stouille89 Nouveau Membre du Club Inscription : novembre 2006 Messages : 142 Détails du profil Informations forums : Inscription : novembre 2006 Messages : 142 Points : 27 Points : 27	je te remercie pour la securité des formulaire : le mot de passe saisit dans un formulaire ne transite pas de la station de l'utilisateur au serveur ?
	00

12/03/2007, 23h49	#4
vic Membre éprouvé Inscription : août 2002 Messages : 430 Détails du profil Informations forums : Inscription : août 2002 Messages : 430 Points : 408 Points : 408	Bien sur le mot de passe transite entre le client et le serveur. En clair si tu es en HTTP, en crypté si tu es en HTTPS.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email