[PHP] sécurité
ericpons
Messages postés
39
Date d'inscription
Statut
Membre
Dernière intervention
-
ericpons Messages postés 39 Date d'inscription Statut Membre Dernière intervention -
ericpons Messages postés 39 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
je me suis récemment intéressé à comment me faire un petit site perso. Et j'en suis arrivé à PHP pour les contrôles d'accès, les sessions, etc.
Je débute donc et j'ai lu quelques petites choses par-ci par-là notamment que PHP posait des problèmes de sécurité.
Pouvez-vous me conseiller des sites sur comment sécuriser son code et qu'est-ce qu'il faut éviter?
Eric.
je me suis récemment intéressé à comment me faire un petit site perso. Et j'en suis arrivé à PHP pour les contrôles d'accès, les sessions, etc.
Je débute donc et j'ai lu quelques petites choses par-ci par-là notamment que PHP posait des problèmes de sécurité.
Pouvez-vous me conseiller des sites sur comment sécuriser son code et qu'est-ce qu'il faut éviter?
Eric.
A voir également:
- [PHP] sécurité
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Easy php - Télécharger - Divers Web & Internet
- Clé de sécurité windows 10 gratuit - Guide
5 réponses
Salut !
Je suis pas franchement pro en php, je bidouille les sessions, mais une grosse faille en php que j'ai "utilisée" dans mes premiers sites etait la suivante.
Tu as par exemple ta page index.php par laquelle tu passes tout le temps, pour n'importe quelle rubrique de ton site. En paramètre, tu passe par exemple un variable qui donne le répertoire dans lequel sont classés tes fichiers liés à la rubrique désirée, par exemple forum : http://www.monsite.com/index.php?forum et dans index.php, y'a par ex un include de forum/index.php !!! boum erreur, parceque ton répertoire d'administration, il s'appelle admin sans doute, ou administration, ou gestion ... bref, quelque soit son nom, quelque soient les restrictions faites sur le répertoire admin, php a le droit d'aller chercher ces fichiers.
Un utilisatuer malveillant peut donc taper index.php?admin et tomber sur l'index de ta page d'administration. PLus fort après, il peut se balader dans ton arborescence en passant en paramètre un répertoire .... bref, c une faille.
Le conseil, passer autre chose en paramètre, numéroter des rubriques et passer ces numéros en paramètre, c plus sûr.
G le clavier qui fume, j'arrête là pour aujourd'hui
A pluche !!
Je suis pas franchement pro en php, je bidouille les sessions, mais une grosse faille en php que j'ai "utilisée" dans mes premiers sites etait la suivante.
Tu as par exemple ta page index.php par laquelle tu passes tout le temps, pour n'importe quelle rubrique de ton site. En paramètre, tu passe par exemple un variable qui donne le répertoire dans lequel sont classés tes fichiers liés à la rubrique désirée, par exemple forum : http://www.monsite.com/index.php?forum et dans index.php, y'a par ex un include de forum/index.php !!! boum erreur, parceque ton répertoire d'administration, il s'appelle admin sans doute, ou administration, ou gestion ... bref, quelque soit son nom, quelque soient les restrictions faites sur le répertoire admin, php a le droit d'aller chercher ces fichiers.
Un utilisatuer malveillant peut donc taper index.php?admin et tomber sur l'index de ta page d'administration. PLus fort après, il peut se balader dans ton arborescence en passant en paramètre un répertoire .... bref, c une faille.
Le conseil, passer autre chose en paramètre, numéroter des rubriques et passer ces numéros en paramètre, c plus sûr.
G le clavier qui fume, j'arrête là pour aujourd'hui
A pluche !!
salut,
Voici quelques failles de securite que notre ami fultama avait developpé. Je crois que deja avec ca, tu as de quoi faire.
Mais dis toi bien une chose, tous les langages de prog ou les outils servant aux NTIC ont des failles. Bien sur, il y en a des plus evidentes que les autres, mais il est quasiment impossible d'avoir u systeme securise à 100%.
La seule solution est de faire comme tu procedes en se documentant, afin d'éviter les failles les plus banales et permettre aux pirates en herbe de s'attaquer à toi...
Ciao
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
Voici quelques failles de securite que notre ami fultama avait developpé. Je crois que deja avec ca, tu as de quoi faire.
Mais dis toi bien une chose, tous les langages de prog ou les outils servant aux NTIC ont des failles. Bien sur, il y en a des plus evidentes que les autres, mais il est quasiment impossible d'avoir u systeme securise à 100%.
La seule solution est de faire comme tu procedes en se documentant, afin d'éviter les failles les plus banales et permettre aux pirates en herbe de s'attaquer à toi...
Ciao
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
oups g oublié le lien :$
http://www.commentcamarche.net/forum/affich.php3?cat=0&ID=306507&page=1
Voilà :-)
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
http://www.commentcamarche.net/forum/affich.php3?cat=0&ID=306507&page=1
Voilà :-)
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
Chose importante : interdire dans tous les cas le listing d'un répertoire...
Méthode propre : le dire à apache.
Méthode bourrin et pas très propre : mettre un fichier index.php (ou .html d'ailleurs) dans chaque répertoire qui contient le message d'erreur...
@++
Vous hésitez entre Linux et Windows ?
Vous voulez dépenser du temps ou de l'argent ?
Méthode propre : le dire à apache.
Méthode bourrin et pas très propre : mettre un fichier index.php (ou .html d'ailleurs) dans chaque répertoire qui contient le message d'erreur...
@++
Vous hésitez entre Linux et Windows ?
Vous voulez dépenser du temps ou de l'argent ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question