IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Cookies] PHP et SSL


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut [Cookies] PHP et SSL
    Bonjour,

    Je veux enregistrer certaines données bancaires dans ma base de données MYSQL. Afin de sécuriser ces données bancaires, je viens d'installer un serveur SSL sur mon site.

    Je voulais savoir si je devais faire un autre cryptage en PHP, ou encore si je dois utiliser des fonctions spéciales en PHP lorsque j'enregistre les informations dans la BDD pour que mes données soient vraiment sécurisées.

    Je ne sais pas si j'ai été assez clair donc n'hésitez pas à me poser des questions :-)

    merci à vous

    RO

  2. #2
    Membre expérimenté
    Avatar de titoumimi
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 707
    Détails du profil
    Informations personnelles :
    Âge : 44
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 707
    Par défaut
    n'hésites pas à stoquer tout tes mots de passe en MD5 dans la DB, ca coute rien
    Globalement inoffensif
    Merci de respecter les règles du forum.
    Aucune question technique par MP !
    _______________________________________________________________________
    Cours Ruby et Ruby on Rails (RoR) - Cours PHP - FAQ Ruby / Rails - Livres Ruby / Rails
    Ajax facile avec Ruby on Rails, Prototype, script.aculo.us et les RJS
    Tutoriaux HTML/CSS et PHP

  3. #3
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut merci
    Oui c'est ce que je comptais faire de toute façon :-).

    Mais en fait sur la theorie, si j'enregistre tel quel le numero de CB dans la BDD, le transfert est-il sécurisé ??

    En fait je ne sais pas si le transfert des données vers la BDD est automatiquement sécurisé avec SSL ou s'il faut que j'utilise des fonctions spéciales en PHP pour le SSL

    c'est un peu difficile à expliquer mon truc

  4. #4
    Membre Expert

    Homme Profil pro
    Expert PHP
    Inscrit en
    Novembre 2004
    Messages
    2 127
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2004
    Messages : 2 127
    Par défaut
    SSL n'a rien a voir avec php, en fait ca fait un https et c'est tout

    le transfert est donc sécurisé entre ton poste client et le serveur.

    apres entre php et mysql, ca dépend de ton hébergeur, mais il devrait pas y avoir de probleme, car c'est en local.

  5. #5
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut ok
    Ok je vois ce que tu veux dire.

    Merci beaucoup pour cette confirmation

    :-)

  6. #6
    Membre émérite Avatar de Hervé Saladin
    Homme Profil pro
    Ingénieur d'études en développement et déploiement d'applications
    Inscrit en
    Décembre 2004
    Messages
    647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur d'études en développement et déploiement d'applications
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2004
    Messages : 647
    Par défaut
    Si ton souci est la sécurité :
    - pense a faire attention aux injections sql (regarde sur google si tu ne sais pas ce que c'est).
    - ne stocke aucune donnée sensible ou identifiant dans des cookies, utilise plutot les sessions.
    - fais bien attention à la gestion des droits au niveau des utilisateurs et de la base de données

    évidament, il faut aussi penser à une configuration rigoureuse de ton serveur (le systeme ainsi que TOUS les logiciels qui tournent dessus) et des éléments du réseau (routeurs, firewall etc ...).

    Juste un pti truc :
    Citation Envoyé par orzabal
    si j'enregistre tel quel le numero de CB dans la BDD
    je veux pas dire de betise, mais il me semble que c'est strictement interdit (à verifier aupres de la cnil)

  7. #7
    Membre Expert

    Homme Profil pro
    Expert PHP
    Inscrit en
    Novembre 2004
    Messages
    2 127
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Expert PHP
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Novembre 2004
    Messages : 2 127
    Par défaut
    tout a fait.

    mais ca coute combien de s'enregistrer à la CNIL ?

  8. #8
    Membre émérite Avatar de Hervé Saladin
    Homme Profil pro
    Ingénieur d'études en développement et déploiement d'applications
    Inscrit en
    Décembre 2004
    Messages
    647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur d'études en développement et déploiement d'applications
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2004
    Messages : 647
    Par défaut
    j'en sais rien, mais je crois que c'est pas une question d'inscription ou de déclaration. Pour les n° de CB c'est interdit tout court, point.
    Apres, je suppose que les banques et certains organismes doivent avoir des dérogations, mais à mon avis ca ne doit pas s'obtenir facilement. Bref, je suis pas un expert en droit de l'informatique, c'est pour ça que je pense qu'il est plus sage de se renseigner aupres de la cnil.

  9. #9
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut cb
    Je n'ai pas besoin de cookies (je ne sais même pas si c'est possible avec un htpps de fraire un cookie) et les droits sur les tables sont bien gérés. j'ai également un firewall sur ma machine. Sans être un pro de la sécurité je crois avoir fait le nécessaire de ce côté :-)

    Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins. Après une fois qu'on a validé le paiement, les CB sont effacés dans la bdd.

    C'est un peu comme quand nos clients nous donnent leur numero de CB par téléphone. On les saisit quelque part et des qu'on a utilisé la CB pour le paiement on doit se "débarasser" du numero de CB. Je pense que c'est pareil dans ce cas là.

    Je vais me renseigner quand même la dessus, tu me mets le doute :-)

  10. #10
    Membre émérite Avatar de Hervé Saladin
    Homme Profil pro
    Ingénieur d'études en développement et déploiement d'applications
    Inscrit en
    Décembre 2004
    Messages
    647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur d'études en développement et déploiement d'applications
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2004
    Messages : 647
    Par défaut
    Citation Envoyé par orzabal
    Pour les CB tu n'as pas le droit de les conserver je crois non ? Mais pour valider le paiement par cb il faut bien que je le stocke quelque part quelques heures au moins
    je suis pas assez compétent (ou peut être trop nul )dans ce domaine pour te dire si tu as ou pas le droit de faire ça.
    En revanche, ce que je sais, c'est que pour les paiements en ligne on n'est pas censé enregistrer le n° de cb, même temporairement. Au moment de saisir le n° et de valider le paiement, la transaction se fait directement entre le client et le serveur de la banque de ta boite en https. Ce mécanisme n'est pas visible pour l'utilisateur, et la banque te fournit les outils nécessaire à la bonne integration du module de paiement dans ton appli sous forme d'APIs.

  11. #11
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut banque
    En fait l'appli que l'on a est assez spéciale et on ne peut pas passer directement par une banque comme pour une boutique en ligne (je passe les datails).

    J'ai appelé la CNIL et il est possible de conserver les données bancaires jusqu'à utilisation de celles ci. Il aut toutefois faire une déclaration à La CNIL

    http://www.cnil.fr/index.php?id=1357

  12. #12
    Membre émérite Avatar de Hervé Saladin
    Homme Profil pro
    Ingénieur d'études en développement et déploiement d'applications
    Inscrit en
    Décembre 2004
    Messages
    647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur d'études en développement et déploiement d'applications
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2004
    Messages : 647
    Par défaut
    ok, merci pour ces infos, ca peut toujours etre utile a savoir

  13. #13
    Membre averti
    Inscrit en
    Juillet 2003
    Messages
    25
    Détails du profil
    Informations forums :
    Inscription : Juillet 2003
    Messages : 25
    Par défaut yep
    Oui :-) Nous on est déjà déclaré à la Cnil donc pas de problème :-)

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [Cookies] php + mysql + fpdf optimisation
    Par bijour dans le forum Langage
    Réponses: 2
    Dernier message: 09/10/2006, 15h17
  2. [Cookies] Les cookies PHP
    Par maximenet dans le forum Langage
    Réponses: 18
    Dernier message: 02/08/2006, 12h55
  3. [Cookies] PHP interprété ! oui mais..
    Par Thierry8 dans le forum Langage
    Réponses: 12
    Dernier message: 13/12/2005, 17h21
  4. [Cookies] PHP et navigateurs ?
    Par jexl dans le forum Langage
    Réponses: 1
    Dernier message: 10/10/2005, 11h01
  5. PHP et SSL
    Par philweb dans le forum Serveurs (Apache, IIS,...)
    Réponses: 6
    Dernier message: 30/07/2004, 18h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo