Bonjour,
 
Actuellement de développe un site en PHP. Celui-ci contiendra une partie privée.
 
Etant donné que je ne sais pas trop comment obtenir une sécurité optimale pour mes pages, j'aurais aimé connaitre vos avis concernant ma méthode :

 
 
Comment vous aurez pu le remarquer, j'ai un répertoire includes dans lequel je stock des fichiers important comme le "config.php". J'aurais également aimé quel chmod je dois mettre pour éviter toute intrusion dans ce répertoire ???
 
Merci d'avance

Un .htaccess dans le dit repertoire pour interdire l'acces via http.
PHP ayant acces au systeme de fichiers par le disque et non par http les inclusions se derouleront sans probleme.

pis les pass en clair spa cool, un hachage en md5 minimum je dirais

Je ne parle pas de cryptage. J'ai crypté le mot de passe bien avant cette page (Pas fou moa ^^).
 
Je voulais juste savoir si ma méthode était fiable ou pas.

Ah ben si c'est déjà crypté alors ... concernant la sureté de ta méthode, je ne suis pas expert ^^'

une petite verification prealable des variables de sessions et surtout de ta variable GET ... ( par definition, verifie toujours la variable GET
 
exemple :  
 

 
du moin c'est ce que je fait pour les variables GET ( je fait pareil sur les variables de SESSION ... ( ca permet aussi de travailler avec une variable plus simple et d'eviter les erreurs undifined ... )
 
@+

 
Je passerais en POST perso, sinon je suis d'avis de faire quand même un htaccess qui est plus sécurisant, mais carrément moins beau au niveau de l'identification..  
Mais sinon ça m'a pas l'air mal  
ça va etre un gros site qui risque d'avoir beaucoup de piratage?  
 
   

Merci beaucoup les gars.
 
Non c'est un petit site enfin la partie public. La partie privée se corse un peu ^^

 
Donc tu doit quand même pas avoir une grosse sécurité, ce que tu à fait est déjà pas mal va..  

Et puis comme d'hab un coup de mysql_real_escape_string sur les variables de la requête ça fait pas de mal, surtout pour le $_GET['sid'] facilement modifiable.

Justement, si un petit malin s'amuse à modifier le PHPSESSID, il se retrouvera sur la page login. Si tu regarde ma requete, je vérifie tout : Login, Pass et le SID.
 
 
Si vous voyez dans mon code, une faille, dite le moi. Merci

Et s'il se débrouille pour que $_GET['sid'] ressemble à un truc du genre :
 

 
?

Bah dans l'os

Bah il nous fait pas un site pour une banque non plus.. Faut déjà en vouloir pour pirater un site perso, je ne m'amuse pas à ça  personnellement...

Y a bien un neuneu qu'a piraté le site spreadfirefox !
 
Si je sais qui c'est un jour, il passera un sale quart d'heure !

lol, c'est vrai j'ai eu un babane qui à pirater mon site lol... Mais lui part contre j'ai trouvé et il à faillit finir chez les flics.. hihi, il recommencera pas de si tot...

Il ferait comment pour modifier cela ? Je suis curieux.
 

Ce n'est pas un site perso. C'est pour une petite entreprise.

oki oki, mais ta déjà pas mal de sécurité.. elle est hyper connue ton entreprise la? elle va engendrée plein de piratage?

Vu que c'est en $_GET, c'est ultra-culcul

 
Pour toi
Explain voir, j'aimerais savoir aussi please, je connais pas cette méthode... Merki d'avance..    
 

bah suffit d'aller a l'adresse suivante :
_http://sonsite.fr/index.php?sid='%20OR%201=1%20LIMIT%201%20--

Voilà, tout ce qui est en GET figure dans l'URL

D'une maniere generale tu dois filtrer TOUTES les données ($_GET, $_POST, $_FILE) etc qui sont envoyées par un client.
 
Les expressions regulieres sont tout indiquées pour faire cela.

Non. C'est une entreprise qui travail dans un rayon de 40km environ. Il n'y a que 2 personnes.
 

Ah ok. Merci.
 
 
J'ai utilisé une fonction proposé sur le site de nexen qui utilise mysql_real_escape_string et cette fois je vais formaté ma requête pour chaque page.

J'ai un problème avec mon fichier logout.php
 
J'ai beau détruire la session, j'arrive à accèder aux pages juste en repassant le SID de ma session en GET.
Dites-moi ce que je peux faire, svp.
 
Voici le code :

ne passe pas le sid en GET, ne le passe pas du tout ... enfin, je dis ca, j'ai rien dis ...

Pourquoi donc ? Il y a des sites qui le font.

un petit peu de lecture sur les sessions
http://www.manuelphp.com/php/ref.session.php
 
@+
 
ps: je le fait parceque le SID est recuperable sans le passer en argument et que, je n'aime pas voir le sid dans une url ... mais c'est juste un choix, loin de moi l'idée d'argumenter pour ou contre ...

pourquoi tu peux pas la passer en post,,
??

 
Dans le site que tu m'as passé , j'ai pu lire ceci :

 
Je dois en déduire quoi exactement ?
Quelle méthode serait la mieu adaptée ?
 
 
Sinon j'voulais vous remercier pour votre aide, c'est super sympas

La meilleure méthode, c'est de passer par SSL

ce que je veux dire c'est qu'il n'y a pas besoin de passer le SID dans l'url pour recuperer les variables de sessions ...
 
@+
 
ps: pour le SSL  

Ok.
 
Merci encore pour vos aides!