Discussion :

[lodan]

Bonjour,

Il m'est demandé de passé un site en site sécurisé, c'est à dire que toutes les données qui transite sur le site ne doivent pas être visible en l'état sur la toile lors du transit des informations.

Un peu (beaucoup) comme une banque.

Que conseillez-vous comme méthode.

Merci

[Eusebius]

Je te conseillerais de tout encapsuler dans SSL. Ca répond à tes spécifications, mais après ça ne sécurise pas tout évidemment...

[lodan]

Les informations sont des noms, des adresses, des listes de biens, des n° de comptes.

Je vais regarder SSL

[Invité]

ssl évidemment pour commencer,
aucune valeur en GET donc tout en POST
utilisation des sessions
vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)

aprés le mieux , mais vraiment le top pour sécurisé un site, c'est de pas faire de site

[lodan]

Merci rbaatouc, je crois que je vais choisir le top.

Je suis soulagé, je croyais partir dans une galère. Tu me simplifies la vie.

C'est décidé, je ne fais pas de site.

Ouf, je me voyais mal parti par cette chaleur, passer l'été à sécuriser un site avec des manips dont tu n'es pas sur du résultat.

Ta soluce de sécurité total est top.

J'éteind ma machine, je pars à la plage.

Salut ....
...
...
...
...
...
...
Euh !

Tout compte fait et après réflexion, consiliabulle et réunion au sommet de mon crâne, je vais tenter le SSL

Bon, j'ai déjà prévu POST depuis le début, l'utilisation de SESSION aussi.

Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"

Mois je vérifie les données saisie dans ma page html en javacript côté user.

J'utilise empty pour savoir si on ma poster quelque chose, ensuite .. bon je te montre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
// Validation des modification ou retour.
if (!empty($_POST)) 
	{
	// Retour
		if (isset($_POST['Retour']))
		{
			header("Location: requetes.php");
		}
// 0 = Supprimé
// 1 = Validé
// 2 = Demande de validation de Modification
// 3 = Demande de validation de Création
// 4 = Demande de validation de Supression
// 5 = Passage en historique
    	if (isset($_POST['Valider'])) 
		{
			$traitement="1";
			$id_trt="1";	
		}
		if (isset($_POST['Creer'])) 
		{
			$traitement="1";
			$id_trt="3";
		}
		if (@$traitement == "1")
		{
			$traitement = "0";
 
            $libelle = trim($libelle);
			$libelle = strip_tags($libelle);
			$libelle = str_replace('"','"',$libelle);
			$libelle = stripslashes($libelle);
 
            $sql_requete = trim($sql_requete);
			$sql_requete = strip_tags($sql_requete);
			$sql_requete = str_replace('"','"',$sql_requete);
			$sql_requete = stripslashes($sql_requete);
 
								$libelle = addslashes($libelle);
 
								$req = ("INSERT INTO ".$prefixe_table."`t_sql` ( `sql_id` , `sql_type_id` , `libelle` , `sql_requete` ,`id_trt` )
										VALUES (\"$sql_id\", \"$sql_type_id\", \"$libelle\", \"$sql_requete\",\"$id_trt\")");
 
								$result = mysql_query("$req") or die ("mise à  jour impossible de la table $req, accès incorrect");
 
								mysql_close($connect_db);
 
								header("location: requetes.php");
								exit();
			}
		}

Dois-je refaire côté serveur les contrôles fait côté client ?

Pour le SSL, je n'y connais rien, mais ce que j'ai lu m'indique que rien n'est à faire côté programmation, c'est dans le paramétrage du serveur (apache) que des modifications doivent être apportées.

Merci

[Eusebius]

salut
pour SSL tu as raison, c'est plus côté apache (et j'y connais pas grand-chose, donc... je me tais)

Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.

[Invité]

Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"

Par exemple si tu attends un chiffre et pas une chaine, tu vérifies avec is_numeric; c'est tout bete mais au moins tu as fait la vérification

Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.

+1, javascript c'est juste un plus rien dautre, tjs vérifier coté serveur


je vais chipoter mais on ne dit pas SSL mais TLS, c'est un abus de langage SSL.
Tes liens vont légérement changer http devient https, et tu dois acheter un certificat aussi (je te laisse demander a notre ami google plus d'explication)

[lodan]

Pardon pour l'abu de langage je suis d'accord, d'ailleur j'avais lu :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF (TLS version 1). Il y a très peu de différence entre SSL version 3 et TLS version 1. Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.

sur wikipedia.org

Mais bon qu'en on parle SSL les non initiés comprennent presque, cela simplifie les rapports avec les humanoïdes non ip.

Pour les contrôles, je vais garder le javascript ? Je ne sais pas, maintenant, il ne me coûte pas très cher, c'est le même script pour toutes les pages.

Pour le côté PHP, je vais sûrement trouver sur le forum un exemple de contrôle qui permet de tester dans une fonction tous mes formulaires.

Merci beaucoup pour cet éclairage.

[Eusebius]

Pour les contrôles, je vais garder le javascript ?

Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.

Pis arrêtez de m'embêter avec le SSL

[Invité]

Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.

jaime bien le terme cosmétique

Pis arrêtez de m'embêter avec le SSL

le ssl c'est un terme "cosmétique" apprécié par les utilisateurs qui n'ont pas à dire TLS

[lodan]

Adieu SSL, snif

Le SSL est mort Vive le TLS

Bon allez c'est résolu tout ça, y a plus k fo kon