Juste pour info le site guide-serveur.fr vient de se faire hacker !!!
Je suis debutant et je n'aimerai pas avoir le meme problème pouvez vous me donner quelques conseil ou pieges a éviter pour ne pas me faire hacker !!!

eh bien, il suffit de faire un truc "sécurisé"
pour cela, il faut empecher les injections de code (c'est probablement ce qui s'est produit la)
en utilisant la fonction addslashes sur toutes les variables entrantes dans ton site.

pareil pour les requetes sql, afin d'eviter l'injection sql.

et il faut toujours prendre des mots de passe sécurisés (qui n'ont aucun rapport avec toi. pas de ta date de naissance, pas le nom de ton chien, ...)

apres, le gros probleme, c'est que tu découvre souvent les failles que lorsqu'elles sont utilisées.
donc, toujours avoir une sauvegarde de secour dans le cas ou ca arrive.

Pour ce qui est de programmation PHP / MySQL je mi connais trés bien mais je voulais parler de la sécurité du serveur !
et merci de ta réponse rapide

Vu le message affiché en page d'accueil, le hackeur a semble-t-il simplement utilisé une faille de phpbb. Certainement que phpbb n'était pas à jour. Il faut faire très attention aux scripts hébergés, je pense que la majorité des hacking proviennent de là, donc bien faire attention aux scripts les plus connus : spip, phpbb, invision, vbulletin, punbb, dotclear le mieux c'est de s'inscrire aux newsletter quand c'est possible, comme ça dès qu'une faille est découverte tu le sais en très peu de temps. Mais sinon le meilleur conseil est bien sûr des sauvegardes régulières extérieures, ça permet au moins en cas de hacking de pouvoir remettre tout en place sans trop de perte et en un minimum de temps. @+

Effectivement il semble que le hacker a utilisé une faille de phpBB pour prendre le control du site.
Aprés cette experience je pense que je ne toucherai plus jamais a phpBB .
et merci aussi de ta réponse

Est ce que les dev de phpBB pense faire des patchs de securité ? ou une autre version ? ou ya t il deja des news sur ce sujet ?

a+

Bonjour,


Heu, là, j'avoue que je ne comprends pas l'intérêt du addslashes() pour lutter contre les hacks....

xpatval

Cela permet de contrer une injection SQL par exemple lorsque les Magic Quotes ne sont pas activées....

Bon d'accord, je suis lourd, mais...tu peux m'expliquer avec un exemple ?

xpatval

Lit ce tuto il explique bien le sujet des magic quotes et de la protection des données d'entrées avec les magic quotes désactivées:
http://www.phpfrance.com/tutoriaux/index.p...es-magic-quotes
slender

Imagine que tu fasse un truc comme ça :

"UPDATE membres SET password='".$newpassword."' WHERE id='".$id."'";
Imagine que le id est issu d'un GET et qu'un utilisateur mal intentionné ait mis à la place ' OR 1='1
Remplace le $id par ça et tu verras la faille