J’ai vu plusieurs tuto et cours sur les formulaires d’inscription dynamique en PHP. Ma préoccupation est la suivante : y a-t-il une méthode standard et récente qui sécurise mes données à envoyer dans ma BD.
J’utilise wampserver
Merci
tu entends quoi par sécuriser ?
Car en fonction de tes besoins, la réponse ne sera pas la même :
Au niveau Frontend, tu as quelques techniques à voir pour :
- La sécurisation des données en cours d’acheminement (Https en règle un paquet mais pas que)
- La sécurisation des cookies (vol de cookies, vol de session)
Au niveau du backend :
- Tu as toutes les failles classiques type injection SQL.
Au niveau de la base, tu peux également rendre les données sensibles non lisibles (si te fais voler l’accès à ta base, il ne faut pas que les données soient lisibles directement).
Et ensuite, il y a toutes les problématiques de mot de base pour la gestion des accès (cela ne sert à rien de tout sécuriser si le mot de passe pour atteindre ton serveur est trivial), des permissions, …
Donc pour répondre à ta question, oui il existe une standardisation voir des frameworks pour à peu près chacun des points (et j’en oublie sûrement) ci dessus;
Par quoi veux tu commencer ?
J’aimerais commencé par les cookies merci
Bonjour,
Dans un premier temps, il faudrait implémenter un jeton CSRF sur ton formulaire.
Si tu veux, tu peux également chiffrer tes cokies et implementer la CSP (Content Security Policy)
Okay mais je ne sais pas trop le jeton
Il y a un paquet de ressources sur la sécurisation des cookies, et je crois même en avoir vu un article sur human coder news. Creuse un brin.
En sommaire: N’y stocker rien que le client n’ait le droit de modifier (parce que l’utilisateur peut modifier ses cookies sans vergogne) + HttpOnly + Secure flag + path restreint au strict nécessaire + date d’expiration restreinte au strict nécessaire + SameSite + supprimer le cookie quand il n’est plus nécessaire + aucune raison de manipuler les cookies en JS (y’a localStorage pour stocker des infos clients, sinon, c’est certainement une info à mettre dans le formulaire directement)
Pour les cookies de session, le cookie de session doit être supprimé au logout, mais aussi, la session elle-même doit être détruite. Le n° de session doit être renouvelé à chaque changement de droits d’accès (login, logout, (dé)connection à la zone d’admin/modération,…)
Le token CSRF, on peut s’en passer, il suffit de s’appuyer sur le header “Origin” (s’il n’est pas égal au domaine du site, c’est une CSRF, et on bloque la requête si elle est POST/PUT/DELETE etc). Les anciens navigateurs n’ont qu’à être mis à jour pour supporter ce header.
En revanche, d’accord pour la CSP, qui mitige pas mal de trucs si elle est bien implémentée de manière restrictive.