Discussion :

[Ceddoc]

Bonjour à tous,

Je suis en train de créer un site en php avec une base de donnée mysql.

C'est une application relativement sensible et j'aimerais éviter de laisser des failles de sécurité trop importantes. Notamment au niveau de la base de donnée et de l'accès aux comptes des utilisateurs.

Pour l'instant j'utilise un hachage md5 pour que les mot de passe ne soient jamais transmits en clair. J'ai aussi essayé de rajouter des contrôles sur mes formulaires et mes urls pour éviter les injections SQL. J'ai aussi créé un utilisateur mysql avec des droits d'accès le plus bas possible "au cas ou".

Donc j'aimerais savoir si il y a d'autres précautions élémentaires à prendre, ainsi qu'avoir un conseil sur la façon de se connecter à la base de donnée (pour l'instant le login/mdp pour se connecter à la base est dans un fichier php que j'include lorsque j'ai besoin de requêter).

Merci d'avance.

[rikemSen]

- Utiliser PDO
- Se protéger des attaques dites CSRF
- Utiliser les Sessions (pas pour des données sensibles)

[Ceddoc]

- Utiliser PDO
- Se protéger des attaques dites CSRF
- Utiliser les Sessions (pas pour des données sensibles)

Je vais me renseigner sur PDO et les attaques CSRF.

Mais pour ce qui est des Session je ne suis pas sûr de bien comprendre, ça voudrait dire qu'il faut privilégier des passages de variables par la variable $_SESSION au lieu de $_POST ou $_GET ou bien qu'il faut protéger chaque page grâce à une variable de $_SESSION (tester $_SESSION['mavariabledeconnection'] à chaque début de page? (ce que je fais actuellement)).

Merci pour la réponse rapide en tous cas.