securité

Bonjour,

je suis en train de cree, mon site web.
Il y a une partie privé à laquelle l'utilisateur doit s'identifier s'il veut y acceder.

J'ai mis des securités, mais n'etant aps expert dans le domaine j'aimerais savoir si elle sont suffisantes.

Pour chaque requette sql, nottament les INSERT, un addslashes pour chaque valeur insérées (celà est il suffisant pour eviter les injections sql ?)

Pour l'authentification admin,
J'ai mis la partie admin dans un repertoire dont seul moi, a priori, connait le nom

Pour l'authentification user,
L'user saisie son login et password (crypté en abse en sha256),
je verifie en base si la combinaison user-password saisie est bonne
Si oui alors je modifie les propriete de mon objet que j'ai apellé Auth:
auth=true;
lastaccess=time();
id=id_user
type="user"
etc.. (infos complémentaires)
Ensuite je stock mon objet Auth que je viens de cree dans une variable de session

Ensuite sur chaque page qui nécéssite une authentification:
je verif si la variable d'authentification où se trouve l'objet existe:
si non --> l'user n'est pas authentifier
si oui -->
   Je regarde si le timeout n'est pas depassé (30minutes)
   si oui -> j'efface mon objet de la session et l'acces est bloque
   si non -> je regarde si le type est bien "user" et que l'attribu "auth" est bien a true


Lors de l'affichage de texte (type article de blog) saisies par l'utilisateur je met un htmlspecialchars($var,ENT_QUOTES);

Voilà, est ce que celà vous parait suffisent ?
Qu'est ce que je pourrais faire de plus ?

Quand le site sera terminé, je ferais un backup avant et le soumettrais a vos mains expertes pour tester els failles ^^
Cordialement,
Sébastien

Saell og blesuð

Pour les INSERT voir aussi mysql_real_escape_string

Vilhjálms Sigurðsdóttir aka Frëyjá

"Pour l'authentification admin,
J'ai mis la partie admin dans un repertoire dont seul moi, a priori, connait le nom"

>> ça je dirais que ce n'est pas suffisant, car si j'ai bien compris, si on trouve le nom du répertoire on a accès à tout... Il faut que tu protège ces pages admin par une connexion login-password (avec les cookies, ou sessions..)

- MadMatt -
Vb System Library

Saell og blesuð

ou proteger le repertoire admin via htaccess

Vilhjálms Sigurðsdóttir aka Frëyjá

bien entendu que j'effectue une verif login paswword pour la partie admin, je procede ensuite comme pour la partie user où je verifie a chaque page .... juste que pour securiser encore un peu j'ai mis un nom de repertoire assé complexe a deviner !

Pour mysql_real_escape_string, je ne l'utilise pas car j'utilise pear db et il est possible qu'un jour je soit amené a passé sous postgre sql ou autre
^^
sinon le reste c'est suffisent ?

Ben je suis pas un expert mais pour moi ça a l'air correct, après ça dépend qu'est ce qu'il y'a sur ton site. Tant que y'a pas d'informations vraiment importantes à cacher ça devrait aller. Sinon un truc que je fais, c'est que je sauvegardes toutes les adresses IP à chaque commentaires dans les forum ou autres des internautes sur mon site comme ça on sait jamais, peut etre que tu le fait déjà.

Et puis pour la sécurité, généralement c'est à l'experience, si un jour tu te fais hacker par une faille, ben il te restera plus qu'à la corriger comme on dit ;), mais bon d'ici à ce que quelqu'un y arrive..

- MadMatt -
Vb System Library

Merci pour vos reponses, pour les ip, je les conserves déjà...
Lors du login de mes mebres, des post de messages et articles et aussi pour faire mes stats sur les visiteurs, visites, etc...
En revanche, je ne crois pas que ce soit légal de conserver l'adresse ip d'un visiteur a moins de se declarer a un organisme officiel dont je ne me souviens plus le nom.

encore merci
++
seb

La CNIL... mais la reglementation a changé y'a pas longtemps, faut se renseigner.

- MadMatt -
Vb System Library

Si tu utilise PEAR y a LiveUser qui est plutot Bien fichu. Un conseil passe en php5 et MDB2 c'est mieux DB n'est plus maintenu vraiment sauf pour les bugs majeurs