VidaNada 0 Posted March 5, 2006 Share Posted March 5, 2006 Quels sont selon-vous les trous de sécurités évitables ? Dans l'esprit de : http://developpeur.journaldunet.com/tutori...10erreurs.shtml & http://developpeur.journaldunet.com/tutori...10erreurs.shtml Merci. Link to post Share on other sites
MS-DOS_1991 0 Posted March 5, 2006 Share Posted March 5, 2006 Pour moi, les plus "idiotes" et pourtant tellement faciles à éviter sont les failles includes et les injections sql Link to post Share on other sites
baycris 0 Posted March 5, 2006 Share Posted March 5, 2006 il y a aussi la GET je ne sias plus tres bien a cause de quoi mais j'essaye de rechercher le site où j'avais vu cela. Cris Link to post Share on other sites
MarvinLeRouge 1 Posted March 5, 2006 Share Posted March 5, 2006 _AT_baycris : Je pense que tu veux parler, notamment, des failles d'includes (dont parle MS-DOS 1991) utilisant des noms de fichiers passés en paramètres GET (ce qui permet à l'utilisateur de demander des includes d'un peu tout et n'importe quoi). Link to post Share on other sites
michel durand 0 Posted March 6, 2006 Share Posted March 6, 2006 il manque le principal : toutes les données récupérées de l'extérieur (get/post/server)doivent être filtrées contre les injections de code. Link to post Share on other sites
VidaNada 0 Posted March 6, 2006 Author Share Posted March 6, 2006 (edited) Faille include ? $variable='../../../../etc/hosts';include($variable);?? Injections SQL ? function sql($variable){ if (get_magic_quotes_gpc()) { $variable = stripslashes($variable); } if (!is_numeric($variable)) { $variable = "'" . mysql_real_escape_string($variable) . "'"; } return $variable;} Injections de code ? Quoi ? Comment ? Edited March 6, 2006 by VidaNada Link to post Share on other sites
Théo B. 0 Posted March 6, 2006 Share Posted March 6, 2006 Injections de code ? Quoi ? Comment ? <{POST_SNAPBACK}> Par exemple, en n'utilisant que des quotes qui ne prennent pas en compte le $ comme une variable ! Link to post Share on other sites
K-Ola 0 Posted March 6, 2006 Share Posted March 6, 2006 Un trés bon site concernant la sécurité php(une référence en la matiére) www.phpsecure.info Pour les failles les plus courantes : http://www.phpsecure.info/v2/article/php-security.php Link to post Share on other sites
Anonymus 0 Posted March 6, 2006 Share Posted March 6, 2006 Dans le même genre, je citerais les innombrables pages de statistiques automatiques, qui montrent non seulement les pages du site, mais également les pages de l'admin... Link to post Share on other sites
baboon 0 Posted March 6, 2006 Share Posted March 6, 2006 Bonsoir, Pour moi ce ne serait pas les injections d'headers ou sql (comme le souligne MS-DOS 1991) car ces failles sont largement documentés. Elles sont plutôt la conséquence du "Copier / Coller" sans comprendre ...car on trouve de plus en plus de script, mais peu sont bien écris et documentés, et encore moins sécurisés... Un script ou une classes sans documentation, est un travail inachevé, donc une faille potentielle...Le minimum étant d'écrire pour chaque classes, script et/ou fonction les rôles, entrées et sorties, contexte et environnement d'utilisation, plateforme de test. Sans oublier la todo list ou l'historique des bugs corrigés qui donnent quelques indice sur la qualité du script... L'utilisation à profusion de scripts divers et variés n'exclu pas qu'il faille comprendre ce que l'on fait; Parfois il est intéressant de faire relire ou tester son code par une personne tierce... d'ou l'interet qu'il soit documenté.... by by Link to post Share on other sites
choupiz 0 Posted March 7, 2006 Share Posted March 7, 2006 Tu trouveras un topic consacré à la sécurité ici: http://www.developpez.net/forums/viewtopic.php?t=202446 Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now