Aller au contenu

Dossier sécurisation de site web


ouarzazat

Sujets conseillés

Bonjour à tous,

Je souhaiterais lancer une série de thèmes concernant la sécurisation de site web où chacun apporterait sa pierre à l'édifice.

Après tout internet c'est d'abord cela, le partage des connaissances!

Je vous propose cette première partie, les injections SQL qui fait frémir bon nombre de développeurs plus ou moins débutant, comme moi :P

J'aimerais que nous puissions traiter ce sujet en long, en large et en travers au travers de vos expériences, témoignages et démonstrations.

Vous pourrez proposer d'autres thèmes pour lesquels nous ouvrirons d'autres posts, mais par pitié essayez autant que possible de rester dans le sujet de ce post, dans l'intérêt de tous !

-----------------------------------------------------------------------------------------------

Moi même très peu pointu, voire carrément obtu, sur les questions de sécurité, j'y vais donc de ma question pour lancer le débat:

Pour éviter des injections sql, est-il judicieux de spécifier une plage d'argument?

A la manière d'une plage ip vous voyez?

Par exemple, pour une page liste_resultat.php?num_page=...

Est-il judicieux de spécifier que $_POST['num_page'] est un nombre compris entre x et y?

Ou bien pour une autre page dire qu'il ne doit pas y avoir tel ou tel caractère dans le $_POST?

Faudrait-il faire cela pour chacune de nos pages?

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

J'ai fait ça sur mon site en développement, mais j'ai fini par retirer le code de vérification car ça prend du temps de vérifier à chaque fois si les données de la requête n'ont pas été modifier.

Je pense que mettre le Register_globals à off, Magic_quotes à on et coder de façon rigoureuse par exemple en déclarant toujours ses variables sont de bonnes pratiques pour éviter des injections de codes.

Kwiz

Lien vers le commentaire
Partager sur d’autres sites

J'utilise en plus sur chaque variable avant sont traitement dans la base de donnée la fonction addslashes() sous php combiné à une bonne configuration du serveur comme l'a signalé Kwiz,je pense que c'est un bon début de solution à ce genre de probléme de sécurité.

Lien vers le commentaire
Partager sur d’autres sites

Posté (modifié)
Je pense que mettre le Register_globals à off, Magic_quotes à on

Merci pour les lien, ce site à l'air de la référence en la matière!

Quoi ça register_globals et magic_quotes ? :blush:

Modifié par ouarzazat
Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...