Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Sécurité d'un site web en PHP
Bonjour,
Je suis actuellement en train de développer un site internet pour un orchestre et j'ai bientôt fini.
Je voudrais savoir quels sont les failles de sécurité que peux rencontrer un site internet ? Je sais qu'il peut y avoir des injonctions SQL c'est pour cela que j'ai utilisé des requêtes préparée en PDO, est ce suffisant ?
Pour la partie administration je l'ai protégé avec un fichier .htaccess est ce suffisant là aussi ?
Merci à vous pour votre aide
Pour le Top 10 des attaques , des exemple d'attaque et les solutions pour les éviter tu peux regarde rsur l'oswap :
https://www.owasp.org/index.php/Cate...op_Ten_Project
En particulier les article A1 à A10.
Les requêtes préparées sont en principe suffisantes pour se protéger des injections.
D'accord merci beaucoup je vais aller faire un tour sur ce site
Pour l'accès à l'administration un fichier .htaccess suffit ou il vaut mieux créer un utilisateur dans la BDD et faire une session ?
Outre OWASP, que je recommande également, une autre ressource intéressante et orientée PHP: Survive The Deep End: PHP Security. Pas de traduction fr disponible pour l'instant.
Merci je vais y faire un tour également même si mon anglais n'est pas très évolué
Bonjour,
Je partage ici ma très récente expérience par principe de partage d'informations.
J'ai été affronté au même problème de sécurité sur un site que j'ai développé. Et suite à un audit de sécurité (intrusion, SQL Injection, Brute Force,...etc), pour contre carrer ces attaques j'ai opté pour un système qui combine plusieurs méthodes.
Sur la page d'authentification, j'ai implémenter les système de CAPTCHA, le nettoyage des champs envoyés pas POST via la fonction my_real_espace_string() et le contrôle par Expressions Régulières pour éviter les SQL Injection et le Brute Force.
L'avantage de cette méthode c'est que après un deuxième audit sécurités plus aucune vulnérabilité.
J'espère pouvoir aider par cette petite contribution.
N'hésites pas si tu veux plus de détails.
Bonsoir,
mysql_real_escape_string est une fonction obsolète et n'existera plus dans les futures versions de PHP. Il est conseillé d'utiliser PDO, les requêtes préparées avec des paramètres liées à la place lorsque c'est possible.
Une protection par .htaccess est plus rapide à mettre en place, demande moins de connaissances et beaucoup moins de travail mais elle est difficilement évolutive tant sur les fonctionnalités que sur la présentation.Envoyé par Maliibu-31
Un système par session est beaucoup plus souple, évolutif et personnalisable, mais demande beaucoup plus de travail et nécessite des connaissances plus pointues sur la sécurité.
Pour la présentation il faut quand même évoquer "mod_auth_form"
ngatech,
Merci beaucoup pour tes conseils
sabotage,
Je ne connais pas cette fonction, de quoi il s'agit exactement ?
Pour ce qui est de la connexion à la partie administration à la base j'étais partie pour faire une page de connexion et une session mais j'ai lu sur un site que le .htaccess était plus sécurisé c'est pour ça que je viens vous demander votre avis sur le sujet.
Après pour ce qui est de la présentation pour la connexion ce n'est pas très grave si ça reste simple.
Dernière modification par Bovino ; 11/03/2014 à 15h16. Motif: Inutile de citer un message pour y répondre !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager