sécuriser une web appli avec session/.htaccess

phicarre · 01/10/2007, 20h09

Bonjour,
Je suis en train de réaliser une application web en PHP. A terme elle devra être sécurisée du mieux possible.
L'accès se fait par une procédure "classique" d'identification, vérification username/password côté serveur et démarrage de session.
Question 1: mon hebergeur a mis par défaut la valeur de Register_global à ON: faut-il la mettre à OFF ?
Si on regarde en haut du browser l'adresse on peut voir a un moment donné:
www.mon_site/une_fonction.php

Question 2: une personne non identifiée par la procedure décrite au début peut executer une_fonction.php !!! Comment empêcher cela ?
En plus de modules PHP, j'ai des modules javascript.

Question 3: n'importe qui peut voir le contenu en faisant www.mon_site/un_module.js !!! Comment empêcher cela ?
J'ai essayé de mettre en fichier .htaccess mais après, mon site n'est plus accessible que par une fenêtre "authentification http"

Question 4: peut-on avoir à la fois un/des fichiers .htaccess et une gestion de sessions ?

Question 5: est-ce la solution à mon problème ?

Je suis le seul administrateur. J'accède par ftp à mon site pour les mises à jour.

Suis-je à côté de la plaque ou dans la bonne direction ?

Auriez-vous quelques élements de réponses pour un sujet qui doit être classique pour un spécialiste (que je ne suis pas encore) ?
A défaut des references d'application.
Merci

N1bus · 02/10/2007, 00h58

Bonjour,

J'ai aussi rencontré ce genre de problème.

J'ai mis en place :
- HTTPS
- Cryptage des données sensibles (lib mcrypt) dans la bdd
- Sessions
- Register_globals = OFF
- utilisation de mysql_real_escape_string()
- les fonctions sont disponibles selon les droits qu'ont les utilisateurs (plusieurs niveaux)
- logins / mots de passes délivrés par l'application

ça limite déjà pas mal. Aprés je ne sais pas ce qu'on peut faire de plus pour que ça reste quand même souple à l'utilisation

Citation:

une personne non identifiée par la procedure décrite au début peut executer une_fonction.php !!! Comment empêcher cela ?

Alors, ça, ça ne devrait pas se produire. Tu dois avoir un problème avec tes sessions.

01/10/2007, 20h09	#1
phicarre Invité régulier Inscription : août 2005 Messages : 125 Détails du profil Informations forums : Inscription : août 2005 Messages : 125 Points : 9 Points : 9	sécuriser une web appli avec session/.htaccess Bonjour, Je suis en train de réaliser une application web en PHP. A terme elle devra être sécurisée du mieux possible. L'accès se fait par une procédure "classique" d'identification, vérification username/password côté serveur et démarrage de session. Question 1: mon hebergeur a mis par défaut la valeur de Register_global à ON: faut-il la mettre à OFF ? Si on regarde en haut du browser l'adresse on peut voir a un moment donné: www.mon_site/une_fonction.php Question 2: une personne non identifiée par la procedure décrite au début peut executer une_fonction.php !!! Comment empêcher cela ? En plus de modules PHP, j'ai des modules javascript. Question 3: n'importe qui peut voir le contenu en faisant www.mon_site/un_module.js !!! Comment empêcher cela ? J'ai essayé de mettre en fichier .htaccess mais après, mon site n'est plus accessible que par une fenêtre "authentification http" Question 4: peut-on avoir à la fois un/des fichiers .htaccess et une gestion de sessions ? Question 5: est-ce la solution à mon problème ? Je suis le seul administrateur. J'accède par ftp à mon site pour les mises à jour. Suis-je à côté de la plaque ou dans la bonne direction ? Auriez-vous quelques élements de réponses pour un sujet qui doit être classique pour un spécialiste (que je ne suis pas encore) ? A défaut des references d'application. Merci
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email