Discussion :

[altahir007]

Je suis en train de développer mon propre ecommerce, j'ai quelques questions concernant la sécurité :

Pourquoi s'inquietter de la sécurité, quel est le risque si le payement se fait en ligne via un cybermut ou un system équivalent ? il n'y a aucun moyen de pirater un system bancaire tel celui-ci, non ?

En fait je ne vois pas trop le risque sinon d'avoir une base mysql accessible via des malins qui pourrait trouver une faille ...

Merci pour vos conseils, car je suis peu soucieux de cette problèmatique qui revient souvent.

Je suis certain que vous allez me traiter d'inconcient !

[Azazel.fr]

quand tu as un site ecommerce qui "discute" avec une banque, les données sont envoyées de façon crypter à la banque, qui traite le paiement.
c'est la banque qui sécurise son paiement ; ce n'est plus ecommerce.
tant que tu ne stocke aucune données sensibles dans ta base, il n'y a aucun probleme.

[altahir007]

Merci pour ta réponse, je stocke uniquement les login/password les coordonnées société, adresse facturation, livraison .... etc.
Ensuite dans la même base, j'ai les prix des prduits en ligne ...
J'y stockerai également les commandes en cours et passées ... puis c tout.

Il n'y a aucun moyen de toute façon d'executer une requette SQL sur une base de données (par exemple : effacer une table) en navigant sur un site, il faudrai que la personne malvaillante ecrive un fichier php pour executer ce dernier sur le serveur qui heberge le site ... non ? même par un formulaire, je ne vois pas comment il pourai faire !

[Azazel.fr]

par un formualire, on peut faire ce qu'on appelle de l'injection sql.
il suffit de protéger ta base pour ça, en nettoyant correctement les variables que tu envoi (récupération de post, etc...)
regarde du coté de : mysql_real_escape_string.
exple : $texte = mysql_real_escape_string($_POST['champ_texte']);
mais ça m'étonnerais pas qu'ecommerce nettoie tout ça correctement d'origine ; à vérifier.

[altahir007]

merci azezel ... je regarde ça de suite

[altahir007]

l'attaque par injection me fait peur ....
Je vais de suite me coller à modifier mon code pour proteger mes formulaires .... mais bon sans CB, la personne voulant du mal ne peut rien du tout !

Merci encore ... si quelqu'un a autre chose à rajouter sur ce sujet .... je suis à votre ecoute (ou lecture)