Introduction à la sécurité Web / PHP

En février 2012 Maxime Mauchaussée cofondateur de Wixiweb a fait une introduction à la sécurisation des applications web / PHP a l’occasion du #NWXTECH2 a l’eXia.cesi de Rouen.

Voici les sujets traités :

  • Principes de bases de sécurisation
  • Failles de type XSS
  • Failles de type SQL Injection
  • Failles de type CSRF
[slideshare id=18227569&doc=introductionlascuritdesapplicationswebavecphpfr-130405032717-phpapp02]

Merci à l’équipe de Wixiweb et à NWX.

About Thomas Ferney

Etudiant en 5eme année d'informatique, Co-créateur d'horizonduweb, Auto entrepreneur passionné par le Web et les nouvelles technologies.

Voir aussi

Catalogue dataviz : trouvez la représentation qui convient le mieux à vos données

Il existe de nombreuses méthodes de visualisations et ce catalogue va vous permettre de trouver la bonne méthode pour représenter vos données

3 comments

  1. Ce spot publicitaire vous a été offert par Thomas Ferney !
    Je vais être jaloux si tu ne fais pas de post sur Sencha Touch ^^

  2. Slide 15:

    Il serait plus intéressant de présenter PDO que mysql_connect().

    Il serait également intéressant de voir les protections de type htaccess, ne serais-ce que les bases, comme les instructions –indexes ou les traditionnels htpasswd.

    • Si je peux me permettre quelques précisions, ceci est le support d’une conférence, il n’a pas pour vocation d’être exhaustif.

      Au Slide 15, la ligne « Requêtes préparées > mysql_real_escape_string > addslashes » présente 3 solutions, de la plus conseillée à la moins conseillée. Bien entendu, les requêtes préparées sont gérées par PDO.

      Pour le .htaccess, c’était tout simplement hors de sujet de cette conférence de 15 min qui portait sur les 3 principales failles de code qui sont XSS, CSRF et Injection SQL.

      D’ailleurs, pour éviter l’exposition du code, la meilleure pratique n’est pas de mettre un .htaccess avec une option « indexes » mais de ne mettre aucun fichier sensible sur le serveur web. Seules les données accessibles en publique sont publiées, le reste doit être en dehors de la racine du serveur web (fichiers de conf, classes, cache, session, etc.)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.