Discussion :

[Pepito2030]

Salut,

Je viens de terminer à 95% un formulaire d'inscription pour mon futur site (de rencontres...). J'ai fait de mon mieux les scripts php pour traiter les données des formulaires vers la bdd, j'ai essayé de sécuriser un maximum mes scripts php.

A la base, je voulais payer quelqu'un pour me faire le travail pour être vraiment sur de la qualité fournie au niveau sécurité. Ayant quelques connaissances en php (je suis débutant), j'ai décidé de faire moi même le travail... ça me prend plus de temps mais j'y suis arrivé !

Je cherche donc une personne pour me donner des conseils sur ce que j'ai fait notamment au niveau sécurité

Je ne veux pas poster mon travail ici pour que d'autres fassent un copier/coller. Je n'ai pas la prétention de dire qu'il est parfait mais j'ai passé pas mal d'heures dessus à réaliser, à comprendre mes erreurs et à chercher !!

Après si on me dit que ce que j'ai fait c'est bien, je pourrais passer à l'étape suivante (création des fiches pour chaque membre, messagerie privée, etc...).

Si ça intéresse quelqu'un de m'aider, vous pouvez me contacter ici ou par mp (personnes sérieuses).

[Invité]

si tu respectes certaines normes ça devrait aller (pas dans l'ordre):
- addslashes
- expression regulieres pour avoir un format correct des mails
- vérification dans login et pwd d'avoir seulement des caracteres souhaités
- option : mail de validation
option : cas des bots : demande de taper une série de nombre ou un mot apparaisant dans une image
- utilisation des sessions (session_start en début de page etc)
- vérification des valeurs attendu (is_numeric, is_int,is_float)
- vérification de l'existence des valeurs attendus (isset)
- vérification des champs non vides (empty)
etc etc

info sur injections mysql :http://www.phpsecure.info/v2/article/InjSql.php

[Pepito2030]

> addslashes

J'ai vu que beaucoup de personnes utilisent addslashes(), mais qu'en est t'il de mysql_real_escape_string() ?

Quelle méthode est la plus sure ?

> option : cas des bots : demande de taper une série de nombre ou un mot apparaisant dans une image

Au niveau du code de sécurité, je viens de faire un script. Il génère une image, et le code correspondant, est enregistré dans une session $_SESSION['code'] que je détruis une fois le formulaire rempli correctement. Est ce que c'est une bonne méthode ? (l'utilisation de la session pour le code de sécurité).