Securiser son site
Fermé
18rom
-
17 sept. 2010 à 13:54
Nabla's Messages postés 18149 Date d'inscription mercredi 4 juin 2008 Statut Contributeur Dernière intervention 28 avril 2014 - 17 sept. 2010 à 15:03
Nabla's Messages postés 18149 Date d'inscription mercredi 4 juin 2008 Statut Contributeur Dernière intervention 28 avril 2014 - 17 sept. 2010 à 15:03
A voir également:
- Securiser son site
- Votre colis est dans le site de livraison qui dessert votre adresse. nous le préparons pour le mettre en livraison. ✓ - Forum Consommation et internet
- Comment savoir si un site est fiable - Guide
- Il est en cours de transport vers votre site de livraison ✓ - Forum Consommation et internet
- Site de revente - Guide
- Site inaccessible - Guide
1 réponse
Nabla's
Messages postés
18149
Date d'inscription
mercredi 4 juin 2008
Statut
Contributeur
Dernière intervention
28 avril 2014
3 219
17 sept. 2010 à 14:14
17 sept. 2010 à 14:14
il y a plein de trucs différent, je n'ai que quelques notions, mais par exemple, si t'as un script d'upload de fichier,faire attention à ne pas autoriser l'upload de fichiers PHP. Tous les controles doivent être effectué par le serveur, dis toi que tout ce qui vient du "client" est potentielement falcifié.
Ne jamais mettre de nom de page dans l'URL (au pire faire un tableau de correspondance)
si des pages sont a accès réstreind, il faut que la vérificationd e l'autorisation d 'accès soit fait a chaque chargement de page
ne pas utiliser les variables superglobales
si tu utilises le SQL, faire attention aux injections: exemple:
t'as un cham user et un champ mdp:
select * from users where pass = '$password' and user = '$login';
imagine que dans les champs, la personne rentre ca:
$password= "tartiflette' OR user = 'admin' --"
$user = nimporte quoi on s'en bat ...
la requete resultaante est :
select * from users where pass = 'tartiflette' OR user = 'admin' --and user = 'nimportequoi;
(ce qui n'est pas en gras sera commentaire)
et là, le mec vient tout juste de s'authentifier avec le compte admin !
voila, il y a plein de petites choses ...
Ne jamais mettre de nom de page dans l'URL (au pire faire un tableau de correspondance)
si des pages sont a accès réstreind, il faut que la vérificationd e l'autorisation d 'accès soit fait a chaque chargement de page
ne pas utiliser les variables superglobales
si tu utilises le SQL, faire attention aux injections: exemple:
t'as un cham user et un champ mdp:
select * from users where pass = '$password' and user = '$login';
imagine que dans les champs, la personne rentre ca:
$password= "tartiflette' OR user = 'admin' --"
$user = nimporte quoi on s'en bat ...
la requete resultaante est :
select * from users where pass = 'tartiflette' OR user = 'admin' --and user = 'nimportequoi;
(ce qui n'est pas en gras sera commentaire)
et là, le mec vient tout juste de s'authentifier avec le compte admin !
voila, il y a plein de petites choses ...
17 sept. 2010 à 14:53
En fait je n'ai que deux pages en html sans login et tt ca mais simplement un petit formulaire de contact. Dois-je vraiment réaliser tout ce que vous avez décrit? ou existe-t-il un simple méthode pour html ?
merci
17 sept. 2010 à 15:03