Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Script pour sécuriser une application PHP
Bonjour, je suis à la recherche d'un script pour sécuriser une application PHP/MySQL. Je pensais en trouver dans la partie Scripts mais non.
J'en ai trouvé un ici http://bob.developpez.com/phpauth/ mais il date de depuis 2004, si bien que j'hésite à l'utiliser.
Merci pour votre aide.
C'est pour sécuriser quoi ? Parce que là la question est un peu floue tout de même...
@+
Rémi
Merci srvremi.
Deux choses: les accès et les permissions.
Pour les accès: Un utilisateur doit se connecter avec un user/pass pour accéder à l'application.
Les permissions: En fonction des permissions qui lui sont préalablement accordés, il peut accéder ou non à des parties/rubrique/menus/pages de l'application.
Tout cela avec la sécurité max si possible (cookies, sessions, timeout, hashage du MP, etc)
Merci.
Bonsoir,
Tu dois sécuriser entre autres contre :
- les injections SQL : utiliser PDO ou la fonction mysql_real_escape_string sur les paramètres d'entrée des requetes SQL
- les injections XSS : tu dois faire en sorte que les utilisateurs ne puissent pas rentrer de balises SCRIPT dans les formulaires qui seraient succeptibles de s'afficher sur ton site. De cette manière ils seraient en mesure de récupérer les informations des cookies de l'utilisateur pour ton site. http://www.webhostingtalk.com/showthread.php?t=682647
- les accès à ta base de données et FTP : choisis un mot de passe sécurisé fort et ne le transmet jamais par email.
- l'accès aux mots de passe. En effet, tu dois faire en sorte que les mots de passe ou toutes informations confidentielles en base de données soient hashées, avec un grain de sel unique par utilisateur idéalement. Je viens justement de tomber sur ca qui est très bien : https://forrst.com/posts/Release_da_hash-x2B
- et d'autres choses qui sont expliquées dans cet article : http://phpsec.org/projects/guide/2.html
Salut
Tu peux gérer les permissions avec l'ajout d'un seul champ (statut par exemple) dans ta table utilisateurs.
Suivant les différents utilisateurs, tu attribues des droits d'accés différents, soit des statuts :
a1, b2, c3, b4, etc...
Au moment de l'identification et si tout est Ok, tu mets en variable de session le statut défini pour un X utilisateur.
Ensuite, et de façon conditionnelle, tu peux parfaitement orienter l'utilisateur en fonction justement de ce statut.
Lui accorder l'accés ici ou là, ou pas... tout est possible en fait.
C'est franchement simple à mettre en application.
PS: Ceci en complément aux orientations de Thomas.
Ce n'est pas parce que les choses sont difficiles qu'on n'ose pas les entreprendre.
C'est parce qu'on n'ose pas les entreprendre qu'elles sont difficiles.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager