Accueil > Forum > > > > Sécurité où en est on ?
 Sécurité où en est on ?
mardi 29 mars 2011 à 12:55:21 |
Sécurité où en est on ?
delfti
|
bonjour,
je continue le développement de mon site et j'arrive à un point crucial.
la sécurité !!!
bref, pour rappel, je fais un site d'annonces et je débute le php il y a 6 mois avec ce projet.
m'enfin, j'ai trouvé pas mal de truc mais qui datent.
donc je voulais faire le point.
sur mon site, il y a des formulaires pour entrer des annonces et un moteur de recherche pour les chercher. donc injection sql est ce que le mysql_real_escape_string est suffisant pour tout, sachant que sur ma config serveur (héberge par phpnet)j'ai magic_quotes_gpc en on, magic_quotes_runtime en off et magic_quote_sybase en off aussi
après, il y a les WWW.monsite.fr/page.php?id=XXX. comment je protège ça
puis pour finir, j'ai sur chaque script un include pour la connection à ma BDD quel peut être la parade?
je vous pose ces question car j'ai du mal à trouver des réponses récentes.
merci en tous cas pour les réponses que vous apporterez
@+ |
|
mardi 29 mars 2011 à 14:18:52 |
Re : Sécurité où en est on ?
cod57
|
BONJOUR
normalement mysql_real_escape_string() suffit
il y a aussi les injections xss
strip_tags() peut t'aider
si tu veux pas par exemple de faire injecter des javascripts
par un textarea (classique)
ex:
<script>alert('pas de chance');</script>
moi je filtre et j'autorise dans ce genre de site que les caractéres
usuels [] lettres accents chiffres @
ereg() ou eregi
(OBSOLETE depuis PHP5.3.0.)
regardes cette page
http://php.net/manual/fr/function.eregi.php
exemple du manuel
Prevent XXS attack
<?php
// Prevent any possible XSS attacks via $_GET.
foreach ($_GET as $check_url) {
if ((eregi("<[^>]*script*\"?[^>]*>", $check_url)) || (eregi("<[^>]*object*\"?[^>]*>", $check_url)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $check_url)) || (eregi("<[^>]*applet*\"?[^>]*>", $check_url)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $check_url)) || (eregi("<[^>]*style*\"?[^>]*>", $check_url)) ||
(eregi("<[^>]*form*\"?[^>]*>", $check_url)) || (eregi("\([^>]*\"?[^)]*\)", $check_url)) ||
(eregi("\"", $check_url))) {
die ();
}
}
unset($check_url);
?>
les snippets ne manque pas
a++
|
|
mercredi 30 mars 2011 à 09:37:33 |
Re : Sécurité où en est on ?
syndrael
|
Pour ma part, j'abandonnerai les fonctions mysql_*.. pour à défaut de mysqli_ choisir un connecteur plus sécurisé, comme PDO, Doctrine ou autre ORM..
Et puis va jeter un coup d'oeil sur la notion de sanitize en PHP. C'est une notion qui demande l'apport de librairies qui 'épure' les données d'entrée pour s'assurer que rien ne les compromet.
S.
|
|
mercredi 30 mars 2011 à 19:12:40 |
Re : Sécurité où en est on ?
delfti
|
du coup, je viens d'avoir une idée. ne rigolez pas, je suis encore un débutant quand même.
si coté client, j'interdis des caractères des mots ou des phrase avec du js est-ce utile ou pas ?
|
|
mercredi 30 mars 2011 à 20:36:23 |
Re : Sécurité où en est on ?
cod57
|
bonsoir
les hackers desactivent le javascript dans leur navigateur ...
a++
|
|
mercredi 30 mars 2011 à 21:00:07 |
Re : Sécurité où en est on ?
delfti
|
ha d'accord 
bon sachant que je n'i pas de paiement en ligne ou autre truc payant, je ne pense pas attirer les gros poissons du piratage.
je pense commencer avec un protection simple style COD57 après, dès que j'aurai gagné un peu de sous, je ferai appel à un spécialiste de la sécurité. c'est ce qui me semble être la meilleure solution |
|
jeudi 31 mars 2011 à 12:53:00 |
Re : Sécurité où en est on ?
Morphinof
|
Ils ne sont meme pas obliges de desactiver complement vu qu'ils on acces a tout le javascript ^^ Je me rapelle d'un site ou le click droit etait "interdit" et en une ligne je l'ai reactive.
Du moment que c'est cote client c'est faible niveau secu.
|
|
jeudi 31 mars 2011 à 13:59:41 |
Re : Sécurité où en est on ?
cod57
|
bonjour
pour rebondir sur le sujet
il y a 3 tutos sur phpcs
http://www.phpcs.com/tutoriaux/COMMENT-SECURISER-SON-SITE-EVITER-FAILLES-PHP_202.aspx
http://www.phpcs.com/tutoriaux/PROTECTION-CONTRE-FAILLE-XSS_424.aspx
http://www.phpcs.com/tutoriaux/INJECTION-SQL-EVITEZ-FAILLES-DANS-VOS-REQUETTES_491.aspx
a++
|
|
jeudi 31 mars 2011 à 14:00:10 |
Re : Sécurité où en est on ?
delfti
|
J'ai trouvé ça sur le site php.net
est-ce le sanitize dont parle syndrael ?
coté application est suffisant pour éviter les injection?
je la mets en début de script et l'appelle à chaque requete en faisant sanitize_request()???
Code PHP : <?php
// app_config.php
/**
* SANITIZE REQUEST
*/
function sanitize_request($methods, $array)
{
// methods: trim ; addslashes ; stripslashes ; etc...
// array : $_GET ; $_POST ; etc...
foreach ($methods as $function) {
$array = array_map($function, $array);
}
return $array;
}
if ( ! get_magic_quotes_gpc() )
{
$methods = array('trim', 'addslashes');
$_GET = sanitize_request($methods, $_GET);
$_POST = sanitize_request($methods, $_POST);
$_COOKIE = sanitize_request($methods, $_COOKIE);
$_REQUEST = sanitize_request($methods, $_REQUEST);
}
?> |
|
jeudi 31 mars 2011 à 14:38:05 |
Re : Sécurité où en est on ?
cod57
|
syndrael a raison mais je precise
à savoir à partir de php version 5.2 attention ...
ici un exemple
http://net.tutsplus.com/tutorials/php/sanitize-and-validate-data-with-php-filters/
a++
|
|
Cette discussion est classée dans : site, php, sécurité, magic, annonces
 Répondre à ce message
 Sujets en rapport avec ce message
sécurité site php [ par waterw72 ]
Bonjour,Puis-je mettre un chmod sur tous mes fichiers php de mon site?Cela fait plusieurs fois, que je retrouve du code écrit dans mes fichiers php. C
Hacking site php [ par waterw72 ]
Bonjour à tous et toutes,Cela fait la deuxième fois que je me fais hacké en quelques mois.J'aurais aimé l'avis d'expert.La première fois, la plus part
Player mp3 pour site php [ par nosfe2708 ]
Salut tout le monde; Voilà je vous expose mon problème, je réalise un site qui doit lire des mp3, je me suis donc trouver un player très joli etc... M
Première visite sur ce site [ par stephanlish ]
Salut à tous,je suis une débutante en php mysql et j'ai des problémes d'insertion des valeurs sélectionnées sur la liste de valeurs du formulaire php.
Site en PHP [ par gableouf ]
Bonjour à tous, je cherche à faire un page web "simple" en PHP:Une page avec une zone ou l'internaute peut écrire et en dessous, tout ce qu'il y a été
Site en php objet [ par digitalism ]
Bonjour à tous,voilà je souhaiterais m'entrainer en php objet mais malheuresement je n'ai aucune idée de site..J'ai vraiment envie de m'essayer au php
[Sécurité] Récupérer le fichier source d'un PHP sur un serveur [ par Centauriel ]
Bonjour,Est-il possible de récuperer le fichier source PHP sur un serveur distant ? Je m'explique :J'ai fait un site web avec une base SQL. Et ca me m
Que mettre dans l'index.php en Poo ? [ par lolymeupy ]
Bonjour, je débute en php objet, et je ne vois pas trop comment gérer le fichier index.php... Est-ce qu'on utilise index.php comme fichier central (un
Mise en ligne site php [ par bruce207 ]
Bonjour,je voudrais savoir comment je dois faire pour transporter mon site fait en php avec une base de données mysql sur une machine qui n'est pas co
Site en php [ par nourfald ]
Bonjour,Je cherche le code source d'une interface type en PHP laquelle je peux modifier et adapter à mon besoin personnel en y intégrant des espaces &
 Livres en rapport
|
Derniers Blogs
 ROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGEROSLYN FLUENT APIS: ROSLYNHELPER NUGET PACKAGE par Matthieu MEZIL
Si vous utilisez Roslyn et que vous vous voulez vous simplifier le code du code rewriter, je vous conseille d'installer mon NuGet package RoslynHelper ....(read more) ...
Cliquez pour lire la suite de l'article par Matthieu MEZIL POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|