IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] sécuriser les données d'un site


Sujet :

Langage PHP

  1. #1
    Membre extrêmement actif Avatar de lodan
    Profil pro
    Inscrit en
    juin 2006
    Messages
    2 058
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 2 058
    Points : 705
    Points
    705
    Par défaut [Sécurité] sécuriser les données d'un site
    Bonjour,

    Il m'est demandé de passé un site en site sécurisé, c'est à dire que toutes les données qui transite sur le site ne doivent pas être visible en l'état sur la toile lors du transit des informations.

    Un peu (beaucoup) comme une banque.

    Que conseillez-vous comme méthode.

    Merci
    Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.

  2. #2
    Membre expert

    Profil pro
    imposteur
    Inscrit en
    avril 2003
    Messages
    3 308
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : imposteur

    Informations forums :
    Inscription : avril 2003
    Messages : 3 308
    Points : 3 377
    Points
    3 377
    Par défaut
    Je te conseillerais de tout encapsuler dans SSL. Ca répond à tes spécifications, mais après ça ne sécurise pas tout évidemment...

  3. #3
    Membre extrêmement actif Avatar de lodan
    Profil pro
    Inscrit en
    juin 2006
    Messages
    2 058
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 2 058
    Points : 705
    Points
    705
    Par défaut
    Les informations sont des noms, des adresses, des listes de biens, des n° de comptes.

    Je vais regarder SSL
    Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.

  4. #4
    Membre confirmé
    Homme Profil pro
    Consultant iOS
    Inscrit en
    avril 2006
    Messages
    462
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant iOS
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2006
    Messages : 462
    Points : 630
    Points
    630
    Par défaut
    ssl évidemment pour commencer,
    aucune valeur en GET donc tout en POST
    utilisation des sessions
    vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)

    aprés le mieux , mais vraiment le top pour sécurisé un site, c'est de pas faire de site

  5. #5
    Membre extrêmement actif Avatar de lodan
    Profil pro
    Inscrit en
    juin 2006
    Messages
    2 058
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 2 058
    Points : 705
    Points
    705
    Par défaut
    Merci rbaatouc, je crois que je vais choisir le top.

    Je suis soulagé, je croyais partir dans une galère. Tu me simplifies la vie.

    C'est décidé, je ne fais pas de site.

    Ouf, je me voyais mal parti par cette chaleur, passer l'été à sécuriser un site avec des manips dont tu n'es pas sur du résultat.

    Ta soluce de sécurité total est top.

    J'éteind ma machine, je pars à la plage.

    Salut ....
    ...
    ...
    ...
    ...
    ...
    ...
    Euh !

    Tout compte fait et après réflexion, consiliabulle et réunion au sommet de mon crâne, je vais tenter le SSL

    Bon, j'ai déjà prévu POST depuis le début, l'utilisation de SESSION aussi.

    Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"

    Mois je vérifie les données saisie dans ma page html en javacript côté user.

    J'utilise empty pour savoir si on ma poster quelque chose, ensuite .. bon je te montre :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    // Validation des modification ou retour.
    if (!empty($_POST)) 
    	{
    	// Retour
    		if (isset($_POST['Retour']))
    		{
    			header("Location: requetes.php");
    		}
    // 0 = Supprimé
    // 1 = Validé
    // 2 = Demande de validation de Modification
    // 3 = Demande de validation de Création
    // 4 = Demande de validation de Supression
    // 5 = Passage en historique
        	if (isset($_POST['Valider'])) 
    		{
    			$traitement="1";
    			$id_trt="1";	
    		}
    		if (isset($_POST['Creer'])) 
    		{
    			$traitement="1";
    			$id_trt="3";
    		}
    		if (@$traitement == "1")
    		{
    			$traitement = "0";
     
                $libelle = trim($libelle);
    			$libelle = strip_tags($libelle);
    			$libelle = str_replace('"','"',$libelle);
    			$libelle = stripslashes($libelle);
     
                $sql_requete = trim($sql_requete);
    			$sql_requete = strip_tags($sql_requete);
    			$sql_requete = str_replace('"','"',$sql_requete);
    			$sql_requete = stripslashes($sql_requete);
     
    								$libelle = addslashes($libelle);
     
    								$req = ("INSERT INTO ".$prefixe_table."`t_sql` ( `sql_id` , `sql_type_id` , `libelle` , `sql_requete` ,`id_trt` )
    										VALUES (\"$sql_id\", \"$sql_type_id\", \"$libelle\", \"$sql_requete\",\"$id_trt\")");
     
    								$result = mysql_query("$req") or die ("mise à  jour impossible de la table $req, accès incorrect");
     
    								mysql_close($connect_db);
     
    								header("location: requetes.php");
    								exit();
    			}
    		}
    Dois-je refaire côté serveur les contrôles fait côté client ?

    Pour le SSL, je n'y connais rien, mais ce que j'ai lu m'indique que rien n'est à faire côté programmation, c'est dans le paramétrage du serveur (apache) que des modifications doivent être apportées.

    Merci
    Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.

  6. #6
    Membre expert

    Profil pro
    imposteur
    Inscrit en
    avril 2003
    Messages
    3 308
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : imposteur

    Informations forums :
    Inscription : avril 2003
    Messages : 3 308
    Points : 3 377
    Points
    3 377
    Par défaut
    salut
    pour SSL tu as raison, c'est plus côté apache (et j'y connais pas grand-chose, donc... je me tais)

    Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.

  7. #7
    Membre confirmé
    Homme Profil pro
    Consultant iOS
    Inscrit en
    avril 2006
    Messages
    462
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant iOS
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2006
    Messages : 462
    Points : 630
    Points
    630
    Par défaut
    Citation Envoyé par pierre3
    Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"
    Par exemple si tu attends un chiffre et pas une chaine, tu vérifies avec is_numeric; c'est tout bete mais au moins tu as fait la vérification

    Citation Envoyé par Eusebius
    Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.
    +1, javascript c'est juste un plus rien dautre, tjs vérifier coté serveur


    je vais chipoter mais on ne dit pas SSL mais TLS, c'est un abus de langage SSL.
    Tes liens vont légérement changer http devient https, et tu dois acheter un certificat aussi (je te laisse demander a notre ami google plus d'explication)

  8. #8
    Membre extrêmement actif Avatar de lodan
    Profil pro
    Inscrit en
    juin 2006
    Messages
    2 058
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 2 058
    Points : 705
    Points
    705
    Par défaut
    Pardon pour l'abu de langage je suis d'accord, d'ailleur j'avais lu :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    	Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF (TLS version 1). Il y a très peu de différence entre SSL version 3 et TLS version 1. Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.
    sur wikipedia.org

    Mais bon qu'en on parle SSL les non initiés comprennent presque, cela simplifie les rapports avec les humanoïdes non ip.

    Pour les contrôles, je vais garder le javascript ? Je ne sais pas, maintenant, il ne me coûte pas très cher, c'est le même script pour toutes les pages.

    Pour le côté PHP, je vais sûrement trouver sur le forum un exemple de contrôle qui permet de tester dans une fonction tous mes formulaires.

    Merci beaucoup pour cet éclairage.
    Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.

  9. #9
    Membre expert

    Profil pro
    imposteur
    Inscrit en
    avril 2003
    Messages
    3 308
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : imposteur

    Informations forums :
    Inscription : avril 2003
    Messages : 3 308
    Points : 3 377
    Points
    3 377
    Par défaut
    Citation Envoyé par pierre3
    Pour les contrôles, je vais garder le javascript ?
    Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.

    Pis arrêtez de m'embêter avec le SSL

  10. #10
    Membre confirmé
    Homme Profil pro
    Consultant iOS
    Inscrit en
    avril 2006
    Messages
    462
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Consultant iOS
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : avril 2006
    Messages : 462
    Points : 630
    Points
    630
    Par défaut
    Citation Envoyé par Eusebius
    Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.
    jaime bien le terme cosmétique


    Citation Envoyé par Eusebius
    Pis arrêtez de m'embêter avec le SSL
    le ssl c'est un terme "cosmétique" apprécié par les utilisateurs qui n'ont pas à dire TLS

  11. #11
    Membre extrêmement actif Avatar de lodan
    Profil pro
    Inscrit en
    juin 2006
    Messages
    2 058
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2006
    Messages : 2 058
    Points : 705
    Points
    705
    Par défaut
    Adieu SSL, snif

    Le SSL est mort Vive le TLS

    Bon allez c'est résolu tout ça, y a plus k fo kon
    Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Sécuriser les données avec Access 2007
    Par alain91210 dans le forum Contribuez
    Réponses: 0
    Dernier message: 05/12/2007, 18h43
  2. [Sécurité] Sécuriser les GET dans un formulaire
    Par s-c-a-r-a dans le forum Langage
    Réponses: 8
    Dernier message: 29/09/2007, 11h27
  3. [Sécurité] Sécuriser les variables
    Par snyfir dans le forum Langage
    Réponses: 3
    Dernier message: 24/06/2007, 16h41
  4. Comment sécuriser les données
    Par amireve dans le forum MS SQL Server
    Réponses: 1
    Dernier message: 22/05/2007, 11h30
  5. [Sécurité] Sécuriser ses données !
    Par mLk92 dans le forum Langage
    Réponses: 2
    Dernier message: 22/12/2006, 16h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo