Bonjour,
Je suis en train de réaliser une application web en PHP. A terme elle devra être sécurisée du mieux possible.
L'accès se fait par une procédure "classique" d'identification, vérification username/password côté serveur et démarrage de session.
Question 1: mon hebergeur a mis par défaut la valeur de Register_global à ON: faut-il la mettre à OFF ?
Si on regarde en haut du browser l'adresse on peut voir a un moment donné:
www.mon_site/une_fonction.php

Question 2: une personne non identifiée par la procedure décrite au début peut executer une_fonction.php !!! Comment empêcher cela ?
En plus de modules PHP, j'ai des modules javascript.

Question 3: n'importe qui peut voir le contenu en faisant www.mon_site/un_module.js !!! Comment empêcher cela ?
J'ai essayé de mettre en fichier .htaccess mais après, mon site n'est plus accessible que par une fenêtre "authentification http"

Question 4: peut-on avoir à la fois un/des fichiers .htaccess et une gestion de sessions ?

Question 5: est-ce la solution à mon problème ?

Je suis le seul administrateur. J'accède par ftp à mon site pour les mises à jour.

Suis-je à côté de la plaque ou dans la bonne direction ?

Auriez-vous quelques élements de réponses pour un sujet qui doit être classique pour un spécialiste (que je ne suis pas encore) ?
A défaut des references d'application.
Merci