Comment sécuriser mon site
Résolu/Fermé
BuddyLove_x52
Messages postés
123
Date d'inscription
dimanche 12 janvier 2014
Statut
Membre
Dernière intervention
16 mai 2017
-
Modifié par jordane45 le 4/02/2015 à 18:41
BuddyLove_x52 Messages postés 123 Date d'inscription dimanche 12 janvier 2014 Statut Membre Dernière intervention 16 mai 2017 - 4 févr. 2015 à 22:14
BuddyLove_x52 Messages postés 123 Date d'inscription dimanche 12 janvier 2014 Statut Membre Dernière intervention 16 mai 2017 - 4 févr. 2015 à 22:14
A voir également:
- Comment sécuriser mon site
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Quel site remplace coco - Accueil - Réseaux sociaux
- Site pour vendre des objets d'occasion - Guide
- Site inaccessible - Guide
4 réponses
jordane45
Messages postés
38358
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
28 décembre 2024
4 719
4 févr. 2015 à 18:41
4 févr. 2015 à 18:41
Bonjour,
En même temps... si il a eu accès au code de ta page (celui que tu nous montres ..) il n'aura pas eu de mal...
Tu nous file les identifiants de connexion à ta base..... :-(
J'édite ton message pour mettre de faux identifiants....
sinon tu vas vite avoir du monde sur ton phpmyadmin ....
En même temps... si il a eu accès au code de ta page (celui que tu nous montres ..) il n'aura pas eu de mal...
Tu nous file les identifiants de connexion à ta base..... :-(
J'édite ton message pour mettre de faux identifiants....
sinon tu vas vite avoir du monde sur ton phpmyadmin ....
BuddyLove_x52
Messages postés
123
Date d'inscription
dimanche 12 janvier 2014
Statut
Membre
Dernière intervention
16 mai 2017
4 févr. 2015 à 19:14
4 févr. 2015 à 19:14
Mon pote ne compte pas la coulé ! Il a juste tester la sécuriter.. On a monter ce projet ensemble !
Ok merci de l'aide ! Mais je suis bien obliger d'écrire le mdp de ma base quelques part si je veut y accéder ? =/
Ok merci de l'aide ! Mais je suis bien obliger d'écrire le mdp de ma base quelques part si je veut y accéder ? =/
jordane45
Messages postés
38358
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
28 décembre 2024
4 719
4 févr. 2015 à 19:16
4 févr. 2015 à 19:16
oui bien sûr....
Mais tu peux très bien le mettre dans un fichier : connexion.php et faire un INCLUDE de ce fichier dans les pages de ton site...
..... et surtout... tu peux éviter de nous le montrer !!
N'oublies pas non plus de sécuriser l'accès aux fichiers qui sont sur le serveur via un fichier .htaccess par exemple.
Mais tu peux très bien le mettre dans un fichier : connexion.php et faire un INCLUDE de ce fichier dans les pages de ton site...
..... et surtout... tu peux éviter de nous le montrer !!
N'oublies pas non plus de sécuriser l'accès aux fichiers qui sont sur le serveur via un fichier .htaccess par exemple.
BuddyLove_x52
Messages postés
123
Date d'inscription
dimanche 12 janvier 2014
Statut
Membre
Dernière intervention
16 mai 2017
4 févr. 2015 à 19:30
4 févr. 2015 à 19:30
Oui j'ai trop fais le con la.. J'y ait pas du tous pensé !!
Oui merci, j'ai mit aucune sécurité nul part, je viens de voir sa..!
Sa nomplus c'est pas bien ?
Oui merci, j'ai mit aucune sécurité nul part, je viens de voir sa..!
Sa nomplus c'est pas bien ?
$req = $bdd->query('SELECT * FROM commentaires where ID_article='.$_GET['id'].' ORDER BY date DESC');
jordane45
Messages postés
38358
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
28 décembre 2024
4 719
>
BuddyLove_x52
Messages postés
123
Date d'inscription
dimanche 12 janvier 2014
Statut
Membre
Dernière intervention
16 mai 2017
Modifié par jordane45 le 4/02/2015 à 20:30
Modifié par jordane45 le 4/02/2015 à 20:30
En effet, la requête que tu nous montres n'est clairement pas sécurisée.
avec un prépare.. c'est mieux.
avec un prépare.. c'est mieux.
$sql="SELECT * FROM commentaires WHERE ID_article=:id ORDER BY date DESC"; $req = $bdd->prepare($sql); $param = array('id'=>$_GET['id']); $req ->execute($param);
Utilisateur anonyme
Modifié par ludobabs le 4/02/2015 à 19:51
Modifié par ludobabs le 4/02/2015 à 19:51
Bonjour,
pour sécuriser ton site, hormis les injections Sql ( merci à notre ami Jordanne45 de le souligner ) tu peux également stocker les mdp cryptés dans ta bdd avec la fonction php crypt. Lors du login, tu compares le crypt du mdp rentré dans le formulaire à celui de ta bdd ( stoké crypté ). Le mot de passe n'apparait jamais en clair. Par contre, dans ce cas la, il faut indiquer aux inscrits qu'en cas d'oubli de leur mdp il ne te sera pas possible de le refournir par exemple avec un lien " mot de passe oublié ". Pour éviter le passage visible d'arguments dans l'adresse, utilise la methode POST de ton form. N'oublie pas non plus d'appliquer les restrictions sur l'accès de tes répertoires ( chmod )
Contrer les injections SQL, crypter tes mdp et surtout, eviter de donner les détails de ta conn. dans la question ou les reponses sur Ccm : )
Cdt
ps -> https://www.php.net/manual/fr/function.htmlspecialchars.php
Bonne lecture ^^
En informatique 99% des problèmes se situent entre le fauteuil et le clavier
pour sécuriser ton site, hormis les injections Sql ( merci à notre ami Jordanne45 de le souligner ) tu peux également stocker les mdp cryptés dans ta bdd avec la fonction php crypt. Lors du login, tu compares le crypt du mdp rentré dans le formulaire à celui de ta bdd ( stoké crypté ). Le mot de passe n'apparait jamais en clair. Par contre, dans ce cas la, il faut indiquer aux inscrits qu'en cas d'oubli de leur mdp il ne te sera pas possible de le refournir par exemple avec un lien " mot de passe oublié ". Pour éviter le passage visible d'arguments dans l'adresse, utilise la methode POST de ton form. N'oublie pas non plus d'appliquer les restrictions sur l'accès de tes répertoires ( chmod )
Contrer les injections SQL, crypter tes mdp et surtout, eviter de donner les détails de ta conn. dans la question ou les reponses sur Ccm : )
Cdt
ps -> https://www.php.net/manual/fr/function.htmlspecialchars.php
Bonne lecture ^^
En informatique 99% des problèmes se situent entre le fauteuil et le clavier
BuddyLove_x52
Messages postés
123
Date d'inscription
dimanche 12 janvier 2014
Statut
Membre
Dernière intervention
16 mai 2017
4 févr. 2015 à 22:14
4 févr. 2015 à 22:14
Merci :)
4 févr. 2015 à 18:44
Et également... pas besoin de le mettre plusieurs fois dans une même page comme c'est le cas actuellement....
4 févr. 2015 à 18:52
4 févr. 2015 à 19:12
Par contre, (en dehors de ton pote) tu peux regarder du côte de l'injection SQL par exemple.
mais normalement avec PDO les risques sont assez limités.
Tout dépend comment tu gères tes requêtes.....
Regardes ce tuto par exemple : http://openclassrooms.com/courses/eviter-les-injections-sql