[PHP] sécurité

Fermé
ericpons Messages postés 39 Date d'inscription mercredi 21 mai 2003 Statut Membre Dernière intervention 1 avril 2005 - 7 juil. 2003 à 15:01
ericpons Messages postés 39 Date d'inscription mercredi 21 mai 2003 Statut Membre Dernière intervention 1 avril 2005 - 9 juil. 2003 à 10:25
Bonjour,
je me suis récemment intéressé à comment me faire un petit site perso. Et j'en suis arrivé à PHP pour les contrôles d'accès, les sessions, etc.
Je débute donc et j'ai lu quelques petites choses par-ci par-là notamment que PHP posait des problèmes de sécurité.
Pouvez-vous me conseiller des sites sur comment sécuriser son code et qu'est-ce qu'il faut éviter?

Eric.

5 réponses

arthix Messages postés 52 Date d'inscription lundi 30 juin 2003 Statut Membre Dernière intervention 31 août 2006 5
7 juil. 2003 à 17:34
Salut !
Je suis pas franchement pro en php, je bidouille les sessions, mais une grosse faille en php que j'ai "utilisée" dans mes premiers sites etait la suivante.
Tu as par exemple ta page index.php par laquelle tu passes tout le temps, pour n'importe quelle rubrique de ton site. En paramètre, tu passe par exemple un variable qui donne le répertoire dans lequel sont classés tes fichiers liés à la rubrique désirée, par exemple forum : http://www.monsite.com/index.php?forum et dans index.php, y'a par ex un include de forum/index.php !!! boum erreur, parceque ton répertoire d'administration, il s'appelle admin sans doute, ou administration, ou gestion ... bref, quelque soit son nom, quelque soient les restrictions faites sur le répertoire admin, php a le droit d'aller chercher ces fichiers.
Un utilisatuer malveillant peut donc taper index.php?admin et tomber sur l'index de ta page d'administration. PLus fort après, il peut se balader dans ton arborescence en passant en paramètre un répertoire .... bref, c une faille.
Le conseil, passer autre chose en paramètre, numéroter des rubriques et passer ces numéros en paramètre, c plus sûr.

G le clavier qui fume, j'arrête là pour aujourd'hui
A pluche !!
0
lagassat Messages postés 527 Date d'inscription jeudi 22 mai 2003 Statut Membre Dernière intervention 6 septembre 2004 80
7 juil. 2003 à 17:48
salut,

Voici quelques failles de securite que notre ami fultama avait developpé. Je crois que deja avec ca, tu as de quoi faire.

Mais dis toi bien une chose, tous les langages de prog ou les outils servant aux NTIC ont des failles. Bien sur, il y en a des plus evidentes que les autres, mais il est quasiment impossible d'avoir u systeme securise à 100%.

La seule solution est de faire comme tu procedes en se documentant, afin d'éviter les failles les plus banales et permettre aux pirates en herbe de s'attaquer à toi...

Ciao
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
0
lagassat Messages postés 527 Date d'inscription jeudi 22 mai 2003 Statut Membre Dernière intervention 6 septembre 2004 80
7 juil. 2003 à 17:50
oups g oublié le lien :$

http://www.commentcamarche.net/forum/affich.php3?cat=0&ID=306507&page=1

Voilà :-)
"2 choses sont infinies : l'univers et la betise humaine
bien que en ce qui concerne la 1ere je n'ai pas encore de certitude absolue"
0
batmat Messages postés 1871 Date d'inscription jeudi 1 novembre 2001 Statut Membre Dernière intervention 9 janvier 2008 114
7 juil. 2003 à 18:27
Chose importante : interdire dans tous les cas le listing d'un répertoire...

Méthode propre : le dire à apache.
Méthode bourrin et pas très propre : mettre un fichier index.php (ou .html d'ailleurs) dans chaque répertoire qui contient le message d'erreur...

@++

Vous hésitez entre Linux et Windows ?
Vous voulez dépenser du temps ou de l'argent ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ericpons Messages postés 39 Date d'inscription mercredi 21 mai 2003 Statut Membre Dernière intervention 1 avril 2005 15
9 juil. 2003 à 10:25
Je note, je note...
Effectivement, je ne recherche pas le site infaillible, juste "les grosses erreurs bêtes à éviter"...
Merci,
Eric.
0