conseil pour ne pas être piraté

[hm19000]

Bonjour
j'ai vue qu'il y a plusieurs personnes qui sont victimes d'intrusion , la majorité sont sur des didés.

moi je suis sur un mutuel , qu'elle sont les conseils de sécurité que je dois mettre et les erreurs a éviter pour ne pas être pirater surtout que je commence a trops utiliser le php .

merci

 

[miss-world]

il est bien utile ton topic, je vien d'etre piraté et je suis preneur de tout conseil , peut on par exemple limiter l'accé ftp a une adresse donné ou a un seul pays par exemple, ya t'il des hebergeur plus securisé que d'autre ?

 

[Audiofeeline]

Désactiver allow_url_fopen est une bonne chose...
Déjà... :lol:

 

[thierry8]

possibilité de le désactiver via htaccess ?

 

[guicara]

possibilité de le désactiver via htaccess ?

Oui c'est vrai !
Mer** avec vos dédié là ! :x

Pensez à nous, au mutualiste :lol:

 

[petit-ourson]

Bonjour
moi je suis sur un mutuel , qu'elle sont les conseils de sécurité que je dois mettre et les erreurs a éviter pour ne pas être pirater surtout que je commence a trops utiliser le php .
merci

C'est quoi trop utiliser le PHP ?? ;o)

 

[rog]

Désactiver allow_url_fopen est une bonne chose...

je ne suis pas convaincu et je pense qu'il est préferable de développer un script sans faille plutôt que de compter sur un reglage server qui handicape fortement les possibilités d'un langage de programation

en plus je ne suis pas sur que ce reglage soit efficace

rog

 

[hm19000]

C'est quoi trop utiliser le PHP ?? ;o)

la fonction upload du php , les membres du site peuvent poster des images des articles , inscriptions , login...........;;;

 

[Chark]

Quelques conseils en vrac ( plutot des lignes de conduites ) :

1° Toujours penser qu'un bon pirate trouvera toujours les infos qu'il veut
Par exemple, il y a quelques jours un collegue me disais à propose de son site à propos de ces pages passées en "include" avec une variable GET :"J'ai utilisé url rewriting, changé toutes les variables, il est quasiment impossible de comprendre comment la page est traitée... Bien sur si un pirate le comprends, la c'est vulnérable"...
ERREUR ! Il faut TOUJOURS penser que quelqu'un arrivera à trouver ses infos, donc sécuriser au cas ou.

2° Utiliser la politique du "tout inderdire sauf..." plutot que "tout accepter sauf..."
Par exemple, tu fais un formulaire, il y a 6 choix possibles : Lors du traitement de ce formulaire en php, il faut faire des IF qui vont accepter Seulement les 6 choix et interdire tous les autres !

3° bien vérrouiller toutes les variables en GET
Si c'est une variable du style machin=55 ( que des chiffres ), penser a voir ce que ca donne si on met des lettres ( tres souvent cela donne une erreur, et le navigateur affiche l'erreur avec une partie de ta requete sql = vulnerabilité )

4° désactiver les messages erreur php/sql lors de la mise en ligne
C'est bien pour le codage, mais avoir des messages genre " mysql erreur line 55 near 'query machin from table", c'est pâs bon pour la sécurité.

5° bannir les includes par GET ou alors vraiment surper securiser avec un code du genre :

$valid_pages = array ('index', 'rechercher', 'downloads', 'liens', 'construction'); 

if (in_array($_GET['page'], $valid_pages)) { $PAGE = $_GET['page']; return $PAGE; } else { $PAGE='construction'; $FOLDER='construction'; return $PAGE; return $FOLDER; }

6° Ne pas mettre de lien vers l'interface administrateur depuis le site accessible coté "client"
L'administration du site se fait par un dosier ou une adresse que tu tape manuellement dans le navigateur

Y a plein d'autres choses a faire mais ça c'est des bases .

N'oublie pas la devise du "tout inderdire sauf..." plutot que "tout accepter sauf...", c'est vraiment le plus important !

 

[miss-world]

Merci beaucoup chark, c'est vraiment tres interressant, si tu peut lancer un nouveau topic avec des conseil pour ne pas etre piraté ça sera tres interressant et tres utile

 

[hm19000]

bien vérrouiller toutes les variables en GET

C une chose que j'ai pas fait attention , j'ai verouiller POST mais pas GET.


Merci