Bonjour tout le monde,
Je suis en train de développer une petite application très simple.
Elle est composé comme ceci :
- static
--- css
----- reset.css
----- main.css
--- js
----- main.js
- vendor
- functions.php
- index.php
Il s'agit d'une simple page contenant du texte et un formulaire avec unique champ texte qui permet de rentrer un code de suivi de colis.
Une fois le formulaire soumis, je traite les informations sur cette même page en nettoyant le code de suivi entré par l'utilisateur avec htmlspecialchars.
Je fais un appel à l'API de suivis de colis en PHP (grâce a une librairie présente dans le dossier vendor) puis j'affiche le résultat sur la page.
Le fichier functions.php contient uniquement une fonction qui retourne un tableau de traduction pour chaque étape du suivis de colis, l'API de suivis de colis étant en anglais et désirant une lecture en français. ("en préparation, expédié, entrant dans le centre de tri etc.")
Je suis assez mauvais en sécurité car la plupart du temps j'utilise des framework ou CMS comme Wordpress, où il y a des fonctions pour la sécurité et un cadre de travail déjà bien sécurisé.
Pensez-vous que je doit faire des choses particulières pour sécuriser cette application ? Je ne vois rien de sensible dans ce que j'ai fais, étant donné qu'il n'y a pas de base de donné, pas de cookie, pas de session. Simplement un formulaire en GET et avec un petit traitement derrière.
Dois-je ajouter un .htaccess pour ne pas autoriser la lecture direct de mon functions.php et de mes dossiers static et vendor ? Ce site sera hébergé sur un serveur avec Plesk et j'ai l'impression que de base c'est configuré pour ne pas autoriser l'accès au dossier et fichiers directement, ou alors je dis n'importe quoi ...
On m'a tellement rabâcher de chose sur la sécurité que je ne suis plus sur de rien et un peu parano, si vous pouviez m'éclairer ce sera vraiment super
Bel après-midi à tous !
Partager