Horizon Du Web Actualité & horizon du web et de l'IT à perte de vue !
Related Articles
En février 2012 Maxime Mauchaussée cofondateur de Wixiweb a fait une introduction à la sécurisation des applications web / PHP a l’occasion du #NWXTECH2 a l’eXia.cesi de Rouen.
Voici les sujets traités :
- Principes de bases de sécurisation
- Failles de type XSS
- Failles de type SQL Injection
- Failles de type CSRF
Merci à l’équipe de Wixiweb et à NWX.
Mots clefs menant à cette page :
- securité web introduction
- sécurité web
- sécurité des applications web php
- sécurité des applications php
- Introduction sur le securite web
Lien vers ce post!
Ce spot publicitaire vous a été offert par Thomas Ferney !
Je vais être jaloux si tu ne fais pas de post sur Sencha Touch ^^
Slide 15:
Il serait plus intéressant de présenter PDO que mysql_connect().
Il serait également intéressant de voir les protections de type htaccess, ne serais-ce que les bases, comme les instructions –indexes ou les traditionnels htpasswd.
Si je peux me permettre quelques précisions, ceci est le support d’une conférence, il n’a pas pour vocation d’être exhaustif.
Au Slide 15, la ligne « Requêtes préparées > mysql_real_escape_string > addslashes » présente 3 solutions, de la plus conseillée à la moins conseillée. Bien entendu, les requêtes préparées sont gérées par PDO.
Pour le .htaccess, c’était tout simplement hors de sujet de cette conférence de 15 min qui portait sur les 3 principales failles de code qui sont XSS, CSRF et Injection SQL.
D’ailleurs, pour éviter l’exposition du code, la meilleure pratique n’est pas de mettre un .htaccess avec une option « indexes » mais de ne mettre aucun fichier sensible sur le serveur web. Seules les données accessibles en publique sont publiées, le reste doit être en dehors de la racine du serveur web (fichiers de conf, classes, cache, session, etc.)