Discussion :

[pierrot10]

Bonjour à tous,

Je vais faire un site internet qui doit être très sécurisé afin d'éviter tout hackage de ma base de donnée.

N'étant pas un confirmer en terme de sécurité, je souhaite m'adresser à vous afin d'avoir des conseils pour diminuer les disques que ma base de donnée soit "volée" eainsi que les info qui sont dedans.

Je pose la même question pour le codage PHP.

Mes premières réflexions sont.
1) Derniere vesrion de PHP
2) Ne pas utiliser de include() mais des include_once()
3) utiliser strip_tag() pour la recupération des données d'un formulaire
4) Utiliser $_POST et pas $_GET
5) Pour l'insertion des données dans ma base de donnée, utiliser la fonction mysql_real_escape_string()
6) Héberger le site en https://

Voilà, que me suggèreriez-vous encore?
Je pense aussi utiliser des sous-domaines. Es-ce aussi recommandable?

Merci à tous

[sabotage]

1 - c'est toujours mieux même si l'exploitation de bug PHP ce n'est pas vraiment le cas courant
2 - la je ne vois pas l'avantage en securité
3 - surtout htmlspecialchars() quand tu affiches des données externes
4 - pas de reelle différence de sécurité entre les deux
5 - pour toute requête utilisant des données externes ; mieux : utiliser PDO.
6 - https vise seulement a empecher l'interception des données circulant entre le client et le serveur web.

En particulier il faut considérer toute donnée provenant de l'utilisateur (formulaire, paramètre dans l'url) comme pouvant avoir été falsifié.

[Inazo]

Bonjour à tous,

Pour le point 2 je dirais que l'avantage est d'éviter les messages d'erreurs "Class/fonction déjà définit" par exemple si on inclue deux fois le fichier d'une class ou de fonctions.

Après tout ce qu'a dit Sabotage est bon, PDO à utiliser surtout si tu utilise autre choses que du MySQL et PgSQL et que le SGBD(R) que tu utilise n'a pas de fonction native de sécurisation dans PHP.

Pour le https:// un certificat authentifié et signé coute un certain pris entre 20 et 2800 euro /an... Et si tu ne le signe pas c'est pas bon du tout sur plusieurs point, donc un certificat signé ou pas du tout. Ensuite un certificat c'est une consommation de bande passante en plus.

Cordialement,

[pierrot10]

Merci pour vos réponses.

Es-ce qu'on peut privé l'acces d'un dossier pour ceux qui y accede via le browser, mais en revanche autorisé sont accès pour le code.

Par exemple, si je tape http://www.site.ch/dossier/

je dois recevoir un message d'erreur, qu'importe lequel.
(un htaccess ferais bien l'affaire)

Mais en revanche, si je tape un code du genre

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
include(dossier/code.php);

ca doit marcher.

Bonne année à tous!!!

[sabotage]

C'est deja ce qui se passe : htaccess ne concerne que les fichiers distribués par apache et non les fichiers lus directement sur le disque.

[Myst.]

Comme ça a déjà été dit précédemment, si tu n'es pas sûr de ton code en relation avec ta BDD, utilise PDO, ça comblera déjà pas mal de trous.

Tu peux utiliser https si les membres de ton site doivent communiquer des informations sensibles, comme des coordonnées bancaires. Je ne pense pas que ça vaille le coup dans le cas contraire... À confirmer.

Si tu te sers des sessions, pense à utiliser "session_regenerate_id" quand tes utilisateurs se loggent, ça peut toujours servir.