Sécurisation d'un site

Bonjour, Je cherche actuellement des documentations poussées sur la sécurisation des sites en PHP. Je dois livrer d'ici deux mois un gros site que les clients considèrent comme potentiellement 'sensible' en tous cas attaquables par des sociétés qui n'ont pas interêt à voir naître ce site. J'ai pas trouvé de trucs très intéressant avec mon ami google. Ou peut-être qu'un mec qui s'y connait en hack veut venir forcer le site pour tester? Merci de votre aide.

je crains que "securiser un site web" soit en soi un domaine  à part entiere.
Si le site est réellement sensible, ça va etre dur, en 2 mois, de le sécuriser si tu n'as pas de bases solide en sécurité des serveurs WEB et des failles possibles dans les codes PHP.

------------------------------------- Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]

Hello,

et puis, sans savoir ce que fera ce site, ça va être difficile.
Dis en un peu plus stp.

OK. Déjà merci de vos réponses. En fait il s'agit de trois sites hébergés sur le même serveur (même si j'aurais préféré séparer la régie pub...) Caractéristiques des 2 premiers sites: -forum -Annonces d'emploi -Messagerie (style privée interne au site pas question de mail) -Profils persos avec hébergement d'avatars et cie, presque tout le site nécessite une identification, j'ai utilisé les sessions. + 3ème régie pub, là j'ai utilisé phpadsnew sinon le prix allait exploser leur budget initial. Mais ça fonctionnera uniquement en interne ( pas d'affiliation avec des sites tiers). Le forum n'est pas un phpBB, je l'ai developpé tout seul comme un grand. Tout marche sur le principe de librairies de fonctions que j'appelle en fonction du test d'identification fait sur chaque page. En gros si l'identification échoue, le script appelle la fonction connexion_membres() et si elle réussit la fonction afficher_la_vraie_page(). Pas de variables sensibles dans les URL. Pas d'include() avec des variables. Pas de possibilité d'executer du code en postant un message (c'est déjà ça!). Sinon je vous filerai bien une UrL mais c'est secret-défense, donc je me ferais taper sur les doigts. Pour la partie serveur WEB, c'est pas moi qui m'en occupe ils ont un gars pour ça. Espérons qu'il soit pas neuneu (il fonctionne avec des serveurs windows, chut j'ai rien dit). Je crois que c'est plus un coup de stress car ils m'ont mis la pression sur le coté sécurité, mais généralement je fais tester mes sites par un copain qui est un gentil hacker et ca tient le choc, peut-etre il est moins doué que ce que je pense, mais là il est en vacances. (sur mon serveur je précise...). Y'a-t-il des trucs auxquels il faut particulièrement faire attention? Et phpadsnew a-t-il des trous bien connus? Merci de votre aide.

Je fait apporter mon point de vue qui ici présent n'engage que moi.

Concernant phpadsnew je ne le connait pas particulièrement mais je vais t'apporter un réponse plus global : il existe des defaults quand à utilisé dans le cadre d'un site web des scripts diffusé au grand public : la possibilité pour n'importe quel pirate de comprendre le fonctionnement et de repéré (plus facilement) certaine faille. Dans un code maison (bien codé avec notamment un esprit de sécurité du début à la fin) il est plus difficile (mais jammais impossible) pour un pirate d'assimiler pleinement les stratégie misent en place et de les contourner. Par contre un code maison risque plus dans un volonté d'embrouiller d'éventuels pirates de devenir un shéma d'uzine à gaz avec des failles béante. D'ou la réponse de Davwart : la sécurité informatique (quelque soit l'application de celle ci) est un domaine à part entière.

Une bonne méthode selon moi est de définir de façon trés précise dés le départ le cahier de charges de la sécurité à appliquer au projet qu'il s'agisse de la création d'une application au de la mise en place d'une infrastructure d'entreprise.

Il faut aussi faire trés attention dans sa façon de faire les choses : une application ou la sécurité est prise en compte et mise en place dés le départ et tout au long du développement aura plus de chance de tenir face aux attaques qu'une application programmé puis sécurisé (à la manière de rustine) une fois le développement effectué (petit ajout : éviter les technique bidouille dont la solidité est difficilement évaluable, à moins d'être un exper en cryptage, sécurisation et mathématique, et oui, et encore pour rivaliser avec des techniques de sécurisation éprouvé par des dizaines de personnes il y a beaucoup de travail).

En espérant t'avoir aider et renseigné au moins en partit.

--
William POTTIER, developpeur freelance

Je vais te donner un conseil, mais aussi simple qu'il puisse paraitre, c'est grâce à ça que je ne me fait jamais pirater mes sites web :
Il faut toujours vérifier que l'utilisateur a le droit d'être là où il est et qu'il a le droit de faire ce qu'il fait.Ne te dis jamais que tu as déjà effectué une vérification et que tu peux le laisser faire ce qu'il veux. Fait des vérifications de temps en temps, contrôle toujours le contenu de tes variables, fait toujours un htmlspecialchars() avant de les afficher et un mysql_real_escape_string() avant d'utiliser une valeur dans une requete sql.  En cas de doute, il est toujours préférable d'interdire et perdre un peut de temps, plutôt que d'autoriser et de ne pas pouvoir revenir en arrière. C'est des choses qui paraissent évidente et c'est pourtant souvent là que les erreurs sont commises.
Ah une dernière chose, si tu as le temps, écrit sur une feuille les règles de sécurité que tu pense avoir mis en place, et après vérifit point par point si elles ont été appliquées partout. En général on a des surprises avec ça ;)