Sécurisation site web ?

[XoSt]

Bonjour,

J'aimerais savoir si vous n'avez pas une url pour apprendre à sécuriser un site web, anti hack et anti branleurs qui risquent d'effacer un site juste pour faire mumuse... sécurisation des cookies, sessions, formulaires, urls, includes, sql, etc etc.

Merci.

 

[y04n]

j'ai ça sous le coude déjà : http://www.phpsecure.info/v2/article/php-security.php

 

[XoSt]

J'ai reussi à poster des commentaires sur un enregistrement vide comme expliqué lol

 

[troops]

fait seulement attention à la façon dont tu gére tes variables en PHP... De plus l'url-rewriting est aussi une bonne "protection" sachant que l'utilisateur ne verra jamais les différents paramètres que compose une URL...

 

[benjiiim]

La meme adresse en ASP ca se trouve ? :lol:

Merci

 

[Bool]

[troll]oui, ICI[/troll]

 

[iconso]

Voici quelques conseils en vrac, valables pour PHP, ASP, etc.. :
- Ne jamais faire confiance dans tout ce qui est "paramètres externes" de l'application : champs de formulaires, variables d'URL, etc.. Par exemple si un champ est prévu pour accueillir une adresse email, il ne faut pas s'imaginer que l'utilisateur y saisira forcément une adresse email... Ca parait bête mais c'est la première source de failles sur les sites.
- Utiliser des variables typées
- Toujours vérifier la bonne intégrité et composition de toute variable du coté serveur (et pas seulement en JS) avant de les traiter. Ex : si le script attend un paramètre de type "integer", il ne faut pas l'exécuter si une "string" est présentée
- Bien encoder les variables en HTML avant de les afficher.
- Gérer les exceptions : les pages doivent savoir comment réagir (redirection vers une page d'erreur par exemple, alerte pour indiquer la mauvaise composition d'un champ) si tous les éléments ne sont pas réunis.

Fred