Discussion :

[sub-0]

Bonsoir,
J'ai crée un site entièrement en HTML/JS sauf le template et le formulaire de contact, les questions sont:
c'est quoi les parties qu'il faut sécuriser ?
comment contourner les failles connues ou bien comment éviter les attaques qu'on peut subir ?
est-il possible de pirater un site pareil ( site en HTML) ?
est ce que je dois limiter l'accès a mes dossiers CSS, JS ... par un htacces seulement ou par un fichier index.php ou les deux ?

je vous remercie d'avance

[Invité]

Bonjour,
Tu trouveras ici dans les TOPOS, et sur google mille recettes,
disons marche a suivre.
En premier savoir ce dont on parle, car tu parles de template,
alors des template sans PHP tu fais comment

En plus tout un site sans un seul champ de saisie c'est possible,
mais si c'est le cas il suffit de mettre un index dans tout tes répertoires

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
 header('Location: http://www.TONSITE.com/index.php');
 exit;
?>

et veiller a ce que les html CSS JS etc ... soient protégés 0644
et tes répertoires 0755

[sub-0]

D'abord merci pour la reponse
pourle site j'ai dis que je l'ai fais en HTML sauf le template et le formulaire de contact, car les deux parties la j'était obligé de les faire en PHP.

En premier savoir ce dont on parle, car tu parles de template,
alors des template sans PHP tu fais comment

[Invité]

D'abord merci pour la reponse
pourle site j'ai dis que je l'ai fais en HTML sauf le template et le formulaire de contact, car les deux parties la j'était obligé de les faire en PHP.

Oui je m'en doutais mais qui dit formulaire de contact, dis sans doute cookies et sessions, et bien sur une base de donnée !
C'est un peut ce que je voulais te faire comprendre, car une page en PHP recevant le résultat d'une saisie,
et l'écrivant dans mySql c'est comme si tout ton site était 100 % PHP/MySql voila le pourquoi de mon ironie ...

Bref donc il te faut lire tout les topos concernant les récupérations de TOUT ce qui viens de l'expérieur :
POST FILES GET SESSION et COOKIES (souvent négligés) .
Par ailleur l'art de rentrer les données sécurisées dans SQL, le plus fiable étant PDO en mode prépare.

[sub-0]

Je vois pas la nécessité des cookies et des sessions pour gérer un formulaire de contact , mais bon, le problème c'est d'éviter les failles connues afin d'avoir un site avec un peu securisé.

[Invité]

Je vois pas la nécessité des cookies et des sessions pour gérer un formulaire de contact , .

Mais en théorie si contact veux dire pour toi, inscrit sur ta new-letter c'est sur que non.
Mais n'inverses pas les rôles tu poses une question avec aucune infos, cherchant a t'aider ,
j'essais de cerner dans quel contexte tu est. Et je croyais que ... mais je dois étre naive de m'éforcer a te répondre

[sub-0]

merci ,ça me fais plaisir que tu essaye de m'aider et désolé si j'ai dis un truc qui t'as touchée , mon formulaire de contact est tout simple avec 4 champs de saisie: nom, émail, sujet et message, voila , jusqu'à l'instant j'ai mis en œuvre un contrôle sur les champs de saisie pour empêcher les utilisateurs malveillants d'ajouter des entêtes, il reste avoir s'il y a des failles dans les includes que j'ai fais dans mon template ... etc

[Invité]

merci ,ça me fais plaisir que tu essaye de m'aider et désolé si j'ai dis un truc qui t'as touchée , mon formulaire de contact est tout simple avec 4 champs de saisie: nom, émail, sujet et message, voila , jusqu'à l'instant j'ai mis en œuvre un contrôle sur les champs de saisie pour empêcher les utilisateurs malveillants d'ajouter des entêtes, il reste avoir s'il y a des failles dans les includes que j'ai fais dans mon template ... etc

Pour les include, c'est enfantin, tu ne mets jamais d' URL mais un chemin relatif.
Et tout bétement juste en haut de toutes tes "pages PHP devant inclure un autre PHP" tu mets partout la même varible par exemple
$Mavar="";

Ainsi dans tout PHP devant étre inclus il suffit de le commencer par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?PHP
if (!isset($Mavar))
 {
 echo "<meta http-equiv='refresh' content=0; URL='http://www.ton_site.com/index.php'>";
 exit;
 }

et voila tes php n'auront plus de problémes include