Sécuriser son site WEB des pirates/hackers
prohack
-
prohack -
prohack -
Bonjour,je vais concevoir un site,je n'ai pas encore choisi le langage "adapté" à ce que je souhaitai,mais avant tout je me posai la question à propos de la sécurité notamment d'une attaque,copie du site ,etc et également des données échangées entre le site (=serveur) et les internautes inscrits au site (=clients),login,mot de passe,piratage de leur ordinateur.
J'aimerai savoir quel langage parmi les suivants peuvent-être sécurisés contre les attaques des pirates sur le site:
-PHP
-Mysql
Je ne sais pas vraiment si le PHP est associé au Mysql comme l'association des langages qui suivent
-(X)HTML et CSS
Il y a-t-il un script/code à taper une fois pour tout le site ou bien il faut le faire pour chaque page du site?
Même question mais pour la sécurité des données échangées entre le serveur et les clients,afin que ça ne les infectent en rien.
J'ai vu au niveau des certificats SSL,mais sont très onéreux à moins de le faire soi-même en regardant sur internet.
Je vous remercie d'avance de vos éclaircissements!
Cordialement.
J'aimerai savoir quel langage parmi les suivants peuvent-être sécurisés contre les attaques des pirates sur le site:
-PHP
-Mysql
Je ne sais pas vraiment si le PHP est associé au Mysql comme l'association des langages qui suivent
-(X)HTML et CSS
Il y a-t-il un script/code à taper une fois pour tout le site ou bien il faut le faire pour chaque page du site?
Même question mais pour la sécurité des données échangées entre le serveur et les clients,afin que ça ne les infectent en rien.
J'ai vu au niveau des certificats SSL,mais sont très onéreux à moins de le faire soi-même en regardant sur internet.
Je vous remercie d'avance de vos éclaircissements!
Cordialement.
A voir également:
- Sécuriser son site WEB des pirates/hackers
- Création site web - Guide
- Site de telechargement - Accueil - Outils
- Web office - Guide
- Site comme coco - Accueil - Réseaux sociaux
- Site pour vendre des objets d'occasion - Guide
2 réponses
Salut !
Tu peux créer plusieurs couches de sécurité ...
La première étant du coté client, avec JavaScript, tu peut vérifier les formulaire par exemple avant leur envoi ... etc, sauf que c'est pas suffisant, car Javascript peut être modifié ou arrêté par l'utilisateur !
Alors vient PHP, le plus important, il a pleins d'outils contre les attaques pirates, notamment la classe PDO contre les injections SQL, ou la fonction htmlentities() contre les failles XSS ...
Puis vient MySQL, qui peut aussi faire des vérifications avant d'insérer des élément dans la base de données !
Par exemple, lors de l'inscription, l'utilisateur mets un entier a la place de son nom !
Alors Javascript le vérifie en premier, si le client arrive a le désactiver, alors il pourra envoyer le formulaire quand même, sauf que PHP intervient du coté serveur, et il va recontrôler les données envoyés, si tu oublie par exemple de vérifier le champs nom avec PHP, alors la requête est envoyé a MySQL, donc c'est a lui de contrôler (Encore) les données qui vont être inséré, si tu oublie (Encore) de vérifier le champs nom avec le SGBD, alors ton site comportera une faille !
Tu peux créer plusieurs couches de sécurité ...
La première étant du coté client, avec JavaScript, tu peut vérifier les formulaire par exemple avant leur envoi ... etc, sauf que c'est pas suffisant, car Javascript peut être modifié ou arrêté par l'utilisateur !
Alors vient PHP, le plus important, il a pleins d'outils contre les attaques pirates, notamment la classe PDO contre les injections SQL, ou la fonction htmlentities() contre les failles XSS ...
Puis vient MySQL, qui peut aussi faire des vérifications avant d'insérer des élément dans la base de données !
Par exemple, lors de l'inscription, l'utilisateur mets un entier a la place de son nom !
Alors Javascript le vérifie en premier, si le client arrive a le désactiver, alors il pourra envoyer le formulaire quand même, sauf que PHP intervient du coté serveur, et il va recontrôler les données envoyés, si tu oublie par exemple de vérifier le champs nom avec PHP, alors la requête est envoyé a MySQL, donc c'est a lui de contrôler (Encore) les données qui vont être inséré, si tu oublie (Encore) de vérifier le champs nom avec le SGBD, alors ton site comportera une faille !
Je te conseil d'apprendre un framework, ils sont toujours bien fait et immunitaires au attaques des pirates. CodeIgniter CakePHP Symfony 2 et beacoups d'autres.
Mais si tu veux le faire tout seul, il faut apprendre la sécurité dans des sites specialisés. Tu dois filtrer les $_POST[] $_GET[] $_COOKIE[], tu dois filtrer tes URL. Normalement avec ceci tu es sûre à un certain degré
Mais si tu veux le faire tout seul, il faut apprendre la sécurité dans des sites specialisés. Tu dois filtrer les $_POST[] $_GET[] $_COOKIE[], tu dois filtrer tes URL. Normalement avec ceci tu es sûre à un certain degré
Javascript s'exécute sur le PC du client, et non pas sur le serveur, donc tu peux sécuriser en premier avec !
Puis du coté du serveur, ça dépend avec quel langage tu va programmer ton site, PHP ou ASPX, PHP reste le plus utilisé, donc tu peux tout faire avec !
Puis coté bases de données, tu peux imposer des conditions au SGBD pour qu'il vérifie les données qu'il va insérer, modifier ou supprimer !
La, je vient de citer 3 couches de sécurité, avec HTML5 tu peux aussi ajouter une 4eme couche coté client pour les formulaires ... voila, j'en connais pas d'autres ...
Maintenant, c'est impossible d'utiliser Javascript a lui seule, car il suffit de le désactiver pour qu'un pirate puisse contourner toute la sécurité de ton site !
C'est pas possible d'utiliser le SGBD seule, car il ne peut être aussi stricte et rapide que PHP !
C'est possible d'utiliser PHP a lui seule, mais bon, tu aura dans ce cas un seul niveau de sécurité !
Dans tout les cas, PHP est indispensable, donc contente toi de PHP en premier lieu, les autres tu pourra toujours les inclure aprés !
HTML est moche sans CSS !
Tu dois combiner les 3 pour avoir un site sympa !
PHP est un langage de programmation !
HTML est langage de balisage, ou de mise en page !
Avec PHP, tu peux par exemple faire des condition, des boucles, créer des variables, des tableaux de données et pleins d'autres choses, sauf que tout ça est invisible car ça se passe sur le serveur, donc le fait d'afficher quelque chose avec PHP générera du code HTML !
Quand tu ouvre la page "https://www.commentcamarche.net/", alors tu viens de faire une requête au serveur lui demandant de t'envoyer la page "commentcamarche.net/index.php", sauf que le serveur ne peux t'envoyer du code PHP, alors il va en premier exécuter le code PHP, ce qui générera du code HTML, et il va t'envoyer le résultat, or, de l'HTML !
La page que t'es en train de lire est codé en PHP, pourtant c'est de l'HTML que tu vois, et non pas le code source PHP, c'est le fait que le serveur génère une page HTML en exécutant le code PHP, et il t'envoie la page généré !