Securité

Signaler
Messages postés
39
Date d'inscription
jeudi 2 mars 2006
Statut
Membre
Dernière intervention
22 septembre 2007
-
Messages postés
275
Date d'inscription
samedi 19 novembre 2005
Statut
Membre
Dernière intervention
27 avril 2010
-
Bonjour,

je suis en train de cree, mon site web.
Il y a une partie privé à laquelle l'utilisateur doit s'identifier s'il veut y acceder.

J'ai mis des securités, mais n'etant aps expert dans le domaine j'aimerais savoir si elle sont suffisantes.

Pour chaque requette sql, nottament les INSERT, un addslashes pour chaque valeur insérées (celà est il suffisant pour eviter les injections sql ?)

Pour l'authentification admin,
J'ai mis la partie admin dans un repertoire dont seul moi, a priori, connait le nom

Pour l'authentification user,
L'user saisie son login et password (crypté en abse en sha256),
je verifie en base si la combinaison user-password saisie est bonne
Si oui alors je modifie les propriete de mon objet que j'ai apellé Auth:
auth=true;
lastaccess=time();
id=id_user
type="user"
etc.. (infos complémentaires)
Ensuite je stock mon objet Auth que je viens de cree dans une variable de session

Ensuite sur chaque page qui nécéssite une authentification:
je verif si la variable d'authentification où se trouve l'objet existe:
si non --> l'user n'est pas authentifier
si oui -->
   Je regarde si le timeout n'est pas depassé (30minutes)
   si oui -> j'efface mon objet de la session et l'acces est bloque
   si non -> je regarde si le type est bien "user" et que l'attribu "auth" est bien a true

Lors de l'affichage de texte (type article de blog) saisies par l'utilisateur je met un htmlspecialchars($var,ENT_QUOTES);

Voilà, est ce que celà vous parait suffisent ?
Qu'est ce que je pourrais faire de plus ?

Quand le site sera terminé, je ferais un backup avant et le soumettrais a vos mains expertes pour tester els failles ^^
Cordialement,
Sébastien

8 réponses

Messages postés
591
Date d'inscription
mercredi 20 juillet 2005
Statut
Membre
Dernière intervention
16 juillet 2009
2
Saell og blesuð

Pour les INSERT voir aussi mysql_real_escape_string

Vilhjálms
Sigurðsdóttir aka Frëyjá
Messages postés
2167
Date d'inscription
mardi 11 novembre 2003
Statut
Membre
Dernière intervention
16 juillet 2009
1
"Pour l'authentification admin,
J'ai mis la partie admin dans un repertoire dont seul moi, a priori, connait le nom"

>> ça je dirais que ce n'est pas suffisant, car si j'ai bien compris, si on trouve le nom du répertoire on a accès à tout... Il faut que tu protège ces pages admin par une connexion login-password (avec les cookies, ou sessions..)

- MadMatt -
Vb System Library
Messages postés
591
Date d'inscription
mercredi 20 juillet 2005
Statut
Membre
Dernière intervention
16 juillet 2009
2
Saell og blesuð

ou proteger le repertoire admin via htaccess

Vilhjálms
Sigurðsdóttir aka Frëyjá
Messages postés
39
Date d'inscription
jeudi 2 mars 2006
Statut
Membre
Dernière intervention
22 septembre 2007

bien entendu que j'effectue une verif login paswword pour la partie admin, je procede ensuite comme pour la partie user où je verifie a chaque page .... juste que pour securiser encore un peu j'ai mis un nom de repertoire assé complexe a deviner !

Pour mysql_real_escape_string, je ne l'utilise pas car j'utilise pear db et il est possible qu'un jour je soit amené a passé sous postgre sql ou autre
^^
sinon le reste c'est suffisent ?
Messages postés
2167
Date d'inscription
mardi 11 novembre 2003
Statut
Membre
Dernière intervention
16 juillet 2009
1
Ben je suis pas un expert mais pour moi ça a l'air correct, après ça dépend qu'est ce qu'il y'a sur ton site. Tant que y'a pas d'informations vraiment importantes à cacher ça devrait aller. Sinon un truc que je fais, c'est que je sauvegardes toutes les adresses IP à chaque commentaires dans les forum ou autres des internautes sur mon site comme ça on sait jamais, peut etre que tu le fait déjà.

Et puis pour la sécurité, généralement c'est à l'experience, si un jour tu te fais hacker par une faille, ben il te restera plus qu'à la corriger comme on dit ;), mais bon d'ici à ce que quelqu'un y arrive..

- MadMatt -
Vb System Library
Messages postés
39
Date d'inscription
jeudi 2 mars 2006
Statut
Membre
Dernière intervention
22 septembre 2007

Merci pour vos reponses, pour les ip, je les conserves déjà...
Lors du login de mes mebres, des post de messages et articles et aussi pour faire mes stats sur les visiteurs, visites, etc...
En revanche, je ne crois pas que ce soit légal de conserver l'adresse ip d'un visiteur a moins de se declarer a un organisme officiel dont je ne me souviens plus le nom.

encore merci
++
seb
Messages postés
2167
Date d'inscription
mardi 11 novembre 2003
Statut
Membre
Dernière intervention
16 juillet 2009
1
La CNIL... mais la reglementation a changé y'a pas longtemps, faut se renseigner.

- MadMatt -
Vb System Library
Messages postés
275
Date d'inscription
samedi 19 novembre 2005
Statut
Membre
Dernière intervention
27 avril 2010
1
Si tu utilise PEAR y a LiveUser qui est plutot Bien fichu. Un conseil passe en php5 et MDB2 c'est mieux DB n'est plus maintenu vraiment sauf pour les bugs majeurs