Regles générales de securite ?

Signaler
Messages postés
167
Date d'inscription
mardi 20 janvier 2004
Statut
Membre
Dernière intervention
24 mai 2010
-
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
-
bonsoir,
j'aimerais savoir en gros les regles generales pour avoir un site de ecommerce a peu pres securisé.

pour info, mon site utilise :
les sessions, du javascript, les pseudos frames,des formulaire en post, flash, des fichiers htaccess,... etc
ma zone admin est protegée par sessions, et mon mot de passe en md5
laconnexion ama base se trouve dans un repertoire protegé par un fichier htaccess
(en faite je sais pas si C tres utile de tout enumerer ya un peu de tout)

merci de me dire ce qu'il ne faut pas faire et surtout ce qu'il est conseillé de faire

7 réponses

Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Salut ;-)

Je conseille de protéger ta zone admin par un htacess avec un mot de passe d'au moins 8 caractères ;-)

Ensuite pour les informations d'identification/mot de passes, etc... de tes membres, refuse les caractères spéciaux tels que ', " #, [, ], %, $, etc...

a ++
Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
Salut,
Ajoute aussi si possible un champ dans ta table des connexions, un champ de type varchar, qui y stoquera une clef aleatoire, cette clef sera generer à chaque connexion (logguage, elle sera mise à jour UPDATE), ensuite tu la test à chaque page securiser, pour tester si la variable de session contenant cette clef est la meme que celle dans la db, sa rajoute du temps d'execution, mais c'est trés efficace! j'utilise ça, mais en double clef de 17 à 27 caractéres.

Ensuite evite les failles de type include() type CSS:
http://www.zataz.com/documentation/6907/documentation-faille-php-include-wargam.html
http://sheep-team.org/tutos/15

Et protege bien les entrez faite par l'utilisateur, meme si il s'agit d'une simple selection de page avec une variable, on est jamais trop sûr!

Puis, Log tout évenement fait pas la personne en connexion, deqoui avoir des indications sur ces connexions & ces manipulations.

Voilà pour mes astuces.

-- Pensez à faire des recherches avant de posser vos questions sur le forum, et merci d'eviter le S.M.S. ont est pas sur 06phpcs.com ici :) --
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
J'ai oublier :

Pour les entrez de login/mot de passe, utilise le plus souvent un operateur logique ===
if ($chaine === $autrechaine) { } 

Ce qui est trés efficace! sourtout si tu test des chaines de securité, c'est sensible à la case, trés utile!

-- Pensez à faire des recherches avant de posser vos questions sur le forum, et merci d'eviter le S.M.S. ont est pas sur 06phpcs.com ici :) --
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
1
Très efficace... mmm === permet la vérification de similitude d'objet... va lire la documentation :)

Ce n'est pas très utiles ici. La sensibilité à la casse fonctionne très bien avec ==...

PHP Guru
Écoutez les conseils d'un vieux sage ! Ils sont souvent très utiles.
http://www.lookstrike.com
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
Mmm... t'en ait sûr que == et === sont pareil niveau sensibilité de la case ? je pense pas!

-- Pensez à faire des recherches avant de posser vos questions sur le forum, et merci d'eviter le S.M.S. ont est pas sur 06phpcs.com ici :) --
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
ne vérifie pas le type des données, tandis que === vérifie le type, bref la casse n'a rien à voir là dedans...

a +

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique
Messages postés
1662
Date d'inscription
lundi 16 septembre 2002
Statut
Membre
Dernière intervention
30 juillet 2008
1
Ce qu'il veut dire c'est que == ne vérifie pas la casse... mais je crois qu'il dit vague (divague...):P

PHP Guru
Écoutez les conseils d'un vieux sage ! Ils sont souvent très utiles.
http://www.lookstrike.com