Discussion :

[arnogb69]

Salut à tous,

Je pense que tout est dans le titre.
Je suis en train de développer une appli au boulot et il faut que la sécurité soit béton pour vendre ce point aux clients

Donc j'aimerai savoir comment faire pour optimiser la protection contre les diverses attaques, notamment les sql injections, voire contre le XSS ou autre

Merci d'avance,
J'ai fait des recherches toute la matinée avec mon meilleur ami, Google, mais j'ai pas mal de réponses assez différentes et le problème et qu'elles ne sont pas datées, donc je souhaiterai avoir une réponse qui soit "d'actualité"

[N1bus]

Bonjour,

Tu peux utiliser HTTPS
Et regarder ces articles :

http://php.developpez.com/cours/?pag...#securite-init

[chtipitou]

pour les injections sql

• proteger les variables avant de les mettre dans une requete
  avec mysql c'est la fonction

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  mysql_real_escape_string()

  qui s'en occupe
  
• pour ce qui est du xss, il faut empecher l'affichage de code dans les champs rempli par l'utilisateur
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  html_entities()

  pour TOUTES les variables qui ont ete rentre par l'utilisateur
  
• faille de l'include, ne jamais, jamais, jamais, jamais faire un include($GET)
  verifier la validite du get avec un case/array ou avec un systeme d'identifiant et nom de page en bdd
  
• le vol de session, changer de ssid le plus souvent possible
  et n'utiliser les cookies qu'en dernier recours (je les utilise une fois pour 30 sites a peu pres)

par convention on laisse dans la base les valeurs sales (a part pour les injection sql) et on traite a l'affichage, j 'auraid tendance a penser que c'est du gaspillage de ressource, a chacun son ecole

[arnogb69]

ok, merci

Globalement, je m'en étais assez bien sorti, mais ce topic pourra éventuellement servir à d'autres!

Merci encore