Discussion :

[scamphp]

Bonjour,

Toujours dans le cadre de mon apprentissages, je voulais savoir si le nom des Variable, Constantes, Fichiers et Dossiers avait une importance dans le risque de piratage.

Avoir une variable GET['post']
un fichier Config.php
une constante DB_PASS
et un dossier Admin
Paramètre URL ?p
Fonction getPost()

Cela rend-t-il un site plus vulnérable

ou ça ne sert à rien de chercher des noms exotiques au risque de compliquer la lisibilité du code pour rien

Y a-t-il des risques plus ou moins importants en fonction de:
- Nom de variables
- Nom de constante
- Nom de dossier
- Nom de fichier
- Nom de fonction
- Nom de paramètre

[sabotage]

Le camouflage n'est de manière générale pas une bonne méthode de sécurité informatique.
Dans les scripts libres, tous les noms sont parfaitement connus.

[Celira]

Les sanglots longs des violons de l'automne...
Si ton code est proprement sécurisé, le fait que l'url de ton espace d'administration soit mon_site/admin ou mon_site/choucroute ne va pas changer grand chose.
Et inversement, si il suffit d'ajouter ?zorglub=1 à la fin de l'url pour avoir tous les droits d'administration sans aucun vérification, ben une passoire reste une passoire quelle soit en plastique bleu ou en titane plaqué or.

Après, tu peux t'intéresser à l'offuscation si ça t'intéresse, mais ce n'est pas ce que je mettrais en haut de la liste des choses à faire pour sécuriser un code. Surtout que en général, si un éventuel pirate a accès à tes scripts, c'est qu'il a accès au serveur et (potentiellement) à la base de données, et dans ce cas, lire ton code n'est probablement pas ce qu'il va faire en premier

[scamphp]

Je comprends bien que la première règle est de vérifier ses variables.
Vérifier que l'on reçoit bien ce que l'on attend...

Mais est ce que le nommage des variables, fichiers et dossier apporte un plus ou pas

[Invité]

[I]...tu peux t'intéresser à l'offuscation si ça t'intéresse...

@Celira
Sans vouloir t'offusquer ni t'offenser... nonobstant, on dit "obfuscation"

[chrtophe]

@Celira
Sans vouloir t'offusquer ni t'offenser... nonobstant, on dit "obfuscation"

En espérant que ça ne blesse pas son cœur d'une longueur monotone.

Et si un pirate a réussi a rentrer dans ton site, peu de chance que l'obfuscation le bloque, ça le ralentira juste un peu.

[Dendrite]

Sans vouloir vous faire sangloter ni jouer du violon ! C'est Célira qu'a bon... Offuscation est la traduction française.
Obfuscation est considérée comme un anglicisme. Et toc !

https://fr.wiktionary.org/wiki/offuscation

(En particulier) (Informatique) Opacification du sens ou de l'importance d'une information sans annuler sa visibilité en la noyant dans une masse d'informations non pertinentes.

Sur le fond, ça me fait le même effet que le javanais dont ma mère a connu la mode dans sa jeunesse, un truc un peu puéril.

https://fr.wikipedia.org/wiki/Javanais_(argot)

[grunk]

Je comprends bien que la première règle est de vérifier ses variables.
Vérifier que l'on reçoit bien ce que l'on attend...

Mais est ce que le nommage des variables, fichiers et dossier apporte un plus ou pas

A part te rendre le code plus dur à lire , aucun intérêt d'obfusquer son code (appeler un variable $An7Ml au lieu de $password par exemple).
Idem pour les nom de dossiers , à partir du moment ou la sécurité du code et du serveur est suffisante ca n'a pas d'intérêt .

Si un pirate à accès à tes nom de variables c'est qu'il à accès au code sources et donc au serveur , donc il fait déjà ce qu'il veux.

[Celira]

Bon, ben, je crois qu'on a un consensus ici : passes du temps à sécuriser ton code plutôt qu'à le camoufler.

Sur le fond, ça me fait le même effet que le javanais dont ma mère a connu la mode dans sa jeunesse, un truc un peu puéril.

Tavout ava favait.

[scamphp]

Ok pour moi merci à tous