Comment savoir si mon site est bien securisé

Bonjour à tous, voila un petit moment que j'ai mont site internet et que je le fais tourné en PHP. ça tourne pas mal j'en suis bien content, par contre ce matin j'ai eu une mauvaise surprise ( ça aurai pu etre pire ), dans les dernières news de mon site un mec s'est amusé a changer les dernière news en disant en gros :
" AVIS au Webmaster il y a une grosse faille de securité dans votre site internet, je n'ai modifié ni supprimer de fichiers , Hacked by 'NOF' "

Donc je souhaiterai savoir comment cette personne a bien pu obtenir des log/pass pour pouboir modifier un champ dans la base de donnée!! et j'aimerai savoir aussi que puisje faire pour etre sur que mon site est bien securisé et que personne ne peut obtenir ces informations.
merci a tous pour vos reponse :D
hé²

Hello,

il y a un tas de possibilites...injection SQL notamment, XSS...
Mais sans savoir quel est ton site, ou ton code, on va avoir du mal a t'aider...

Vi pardon voila deja mon site
[ Lien ]
sinon pour la connection pour obtenir les infos de ma BDD jutilise cette cmmande bien connue : include('../cbdd.php');

hé²

Re,

ma foi, je ne suis pas un hacker...et je n'ai pas franchement l'imagination a ca lol.
Ceci dit :
http://www.phpsecure.info/v2/article/InjSql.php
http://www.cgisecurity.com/articles/xss-faq.shtml

articles interessants.

Pour ma part je n'arrive meme pas a acceder a ta page admin lol.
Et n'ai reussi aucune injection, ou xss, mais comme je te l'ai dit, je ne suis pas un specialiste...

merci je vais regarder ça avec attention :D

hé²

Re, bonjour :-)

j'ai reflechi, et a mon avis, c'est de l'injection SQL. IL a du parvenir a ta page d'administration. A partir de la, c'est plutot simple SI tu n'utilises pas, ou mal, mysql_real_escape_string()
http://de3.php.net/mysql_real_escape_string

resalut !!
J'ai bien reflechi aussi, et ( bien sur jene c tjrs pas comment la personne a fait pour se connecté ) mais je ne pense pas k'il soit passé par mon interface admin, mais k'il a pu passé par l'interface PhpMyAdmin de free !! je me suis rendu compte ke dans mon code j'avais une grosse faille  a chaq connection a la Base de donnée, je ne securisai pas les données ( enfin j'avais omis d el afire sur kelk pages .... :(( c bien ma faute ça ) c'est pour ça que j'ai tout remplacé par un include ... je pense k'il a pu recuperer les logs par la !! mais koment !! tel est la question !!!
je pense ke je ne me referai plus avoir, ça ma servie leçon.. mais je suis quand meme curieux de savoir koment a il pu recuperer mes logs ....
Donc maintenant je pense ke c'est quasi securisé ( a l'abri des petit hackers ) ......
Sinon tu a peut-etre raison, mais je reste septique ar depuis l'interface d'admin on ne pe changer la date de la news or il la fait !!! c pour ça ke je pense k'il a du passé par le PhpMyAdmin de Free !!! :(

hé²

Ben je pensais a ton interface admin parce que avec une injection sql, c'est assez facile a faire...a moins que tu n'utilises mysql_real_escape_string() donc.
Mais peut-etre oui...!
En tous cas, tu es tombe sur un gentil hacker, c'est deja ca ;-)

Salut,

la securite est aussi un de mes probleme sur mes sites. J ai d assez bonne connaissance en hacking (pour pouvoir mieux les parer je precise) mais pour la securité des sites aucune ou peu.
Malalam tu parle de la commande: mysql_real_escape_string()  que je ne connais pas peux tu m expliquer son interet.

merci 

---

On ne peut pas savoir tout faire, mais on peut tout apprendre avec du travail. Morpheus262

PS: Besoin d aide pour developper, besoin d un collaborateur pour faire votre site, contacter moi par mail
l

=> Morpheus
http://de3.php.net/mysql_real_escape_string

elle echappe les caracteres dangereux pour mysql, un peu comme addslashes().
Elle contrera notamment certaines injections sql.