Discussion :

[Neckara]

Bonjour,

thierrylhomme vous présente un article intitulé :
Bonnes pratiques de sécurité dans l'écriture de scripts PHP

Le PHP est un langage moderne, puissant et, au regard de ses possibilités, relativement bien conçu du point de vue de la sécurité.

[...]

Il est important de ne pas perdre de vue que les scripts sont exécutés côté serveur -- serveur web qui plus est, donc par définition aussi « exposé » que possible.

Le but de cet article est de faire une synthèse des « bonnes pratiques », en matière de sécurité, dans l'écriture de scripts PHP.

Bonne lecture.

[fredoche]

Bonjour

je lis l'article comme ça... je pense que la sécurité c'est important, mais je m'interroge sur la pertinence de remonter à la surface des vieux articles.


je lis par exemple à propos des injections SQL :

Pour vous prémunir contre ces désagréments, vous avez à votre disposition tout un arsenal de fonctions qui vous permettent de filtrer (ou « parser ») les données transmises pas l'internaute.

Sans être du tout spécialiste du php, je vois qu'il n'est pas fait référence à PDO et aux requêtes paramétrées :
http://www.php.net/manual/fr/pdo.pre...statements.php

Les paramètres pour préparer les requêtes n'ont pas besoin d'être entre guillemets ; le driver le gère pour vous. Si votre application utilise exclusivement les requêtes préparées, vous pouvez être sûr qu'aucune injection SQL n'est possible (Cependant, si vous construisez d'autres parties de la requête en vous basant sur des entrées utilisateurs, vous continuez à prendre un risque)

Il me semble qu'aujourd'hui la seule parade réelle contre les injections consiste à passer par des requêtes paramétrées, que filtrer est toujours illusoire.

Bref c'est surtout pour dire : si c'est pour sensibiliser les membres du forum, je sais pas si c'est bien approprié, puisque cela propose des méthodes probablement inefficaces ?

en référence :
https://www.owasp.org/index.php/Guid...ulnerabilities

[Neckara]

Bonjour,

Chaque article doit être lié à une discussion forum afin que les lecteurs puissent proposer leur avis et nous faire part de leurs remarques.

Or comme ces articles ont été publié dans les années 2006, ils n'ont pas de discussions forum associés, je dois donc créer une discussion pour chaque articles présents dans la page cours.

Il ne s'agit donc pas de "remonter à la surface" de vieux article, ils ont toujours été mis en avant dans la page cours. D'ailleurs j'ai récemment retiré un article obsolète de la page cours.

Ainsi grâce à cette discussion nous avons pu recueillir votre avis et en prendre acte.

[manticore]

Juste une remarque sur les prepared statements, elles sont efficaces, mais ne permettent pas de filtrer tous les types de données.


Je vous invite à lire :

http://stackoverflow.com/questions/6...255054#8255054

Pour les plus pressé :

On ne peut pas faire de prepared statement sur des mots-clés, par exemple un asc ou desc.

Il faut donc soit filtrer (white-liste), et si c'est sur des mots clés, elles sont facile à mettre en oeuvre. Soit hardcoder.