Extrait du livre 'PHP Pro Security', concernant les injections SQL.
Les pages PHP du livre sont bien équilibrées, avec une description de l'attaque et des défenses PHP. Le livre contient...
Traduction anglais-français de : Improper validation of form data is one of the main causes of security vulnerabilities. It exposes your website to attacks such as header injections, sql injections and cross-site scripting. Recording invalid data may also result in corrupt databases and application errors.
security focus dresse la liste des erreurs courantes dans les applications Web :
+ Injections de code distant
+ Injections SQL
+ Variables non filtrées
+ XSS
+ Obtention des noms d'utilisateurs
L'article liste différents...
Il est toujours bon de rappeller que les injections SQL guettent les applications mal conçues. Voici un rappel en français.
Emetteur: I.D.SECURITY SERVICES via www.WalloniePresse.be - réf: 81027 Extrait: I.D.SECURITY EFFACE LE DOUTE Il y a bientôt un an, nous vous informions de la nouvelle loi qui entrait en vigueur le 04 octobre 2007 et qui insiste sur la levée de doute en cas de déclenchements intempestifs d'alarme. Comme nous vous en avions déjà informés, le faible taux de 0.01 % d'infractions effectivement constatées, ont poussés les forces de police à ne plus se déplacer inutilement. Depuis cette loi, tout appel aux forces de l'ordre doit être doublé par la vérification préalable v (...)
Les injections de code PHP sont un fléau. PHP 5.2.1 devrait le freiner considérablement à l'aide d'une nouvelle directive : allow_url_include. Celle-ci permet le contrôle de l'autorisation des...
Les injections XSS permettent d'accéder aux données personnelles des utilisateurs de sites Web. C'est sur elles que reposent les attaques en Cross Site Scripting.
Stefan Esser a publié une nouvelle version de son patch sécurité suhosin, pour détecter automatiquement des injections SQL. Il s'agit d'un analyseur qui se branche directement sur les fonctions mysql_query...
Les injections de code PHP sont un fléau épidémique, et PHP 5.2.1 devrait le freiner considérablement à l'aide d'une nouvelle directive de PHP, allow_url_include : cette dernière permet d'autoriser les...
English and French speaker ESSENTIAL. No applications will be considered if these criteria are not met.Contract senior residential married position in the mining sector in the Democratic Rep of the Congo. Salary 160US$K per annum plus travel and benefits.Reports To: Director CSR: Community, Security, PR Supervises: Security structure and all security contractorsROLE PURPOSE: Manage security service within an integrated structure targeting a community policing system.
Jason Lotito vient de rassembler sa hot liste de liens pour la sécurité PHP sur les forum de PHPdn.
+ Security Patterns
+ The [phpsec] mailing list
+ PHP Security Consortium
+ Hardened-PHP
+ Security Thread on DevShed
+ Foiling Cross Site Scripting Attacks (XSS)
+ Chris Shiflett's Security Workbook
+ XSS Prevention
+ www.phpadvisory.com
+ OWASP Top Ten Most Critical Web Application Vulnerabilities
Je lui ajoute phpsecure.info.
Les injections SQL sont monnaie courante dans les applications Web. Les techniques pour les exploiter sont aussi très nombreuses.
Même si une injection semble échoue en premier lieu, en...
Daniel Egeberg publie un dossier plutôt complet sur la sécurité PHP, sous forme d'un PDF de 20 pages. La sécurité PHP passe par le masquage d'erreur, les injections SQL et HTML, les téléchargements de fichiers, et la protection des sessions.
Ce document est à utiliser comme une référence, et si tous les points affichés sont pris en comptes, il sera difficile de trouver une faille dans vos applications. Il manque peut être une section sur les directives de sécurité PHP plus détaillées. PHP Security (pdf) (0 visite) PHP Security (html) (0 visite)
Chris Shiflett publie le site compagnion de son livre 'PHP Security', dans lequel vous trouverez le sommaire du livre, un extrait (le chapitre 4 ci-dessous), et une bibliothèque de code avec différents outils pour vous défendre, ou pour tester vos défenses. A noter que les scripts d'attaques sont limités au strict minimum, afin de ne pas publier d'outils qui seraient immédiatement utilisés par des pirates. Cela dit, vous avez la base, il suffit de monter les gammes.
le livre PHP Security, ainsi que 2 autres livres, sont en revue au mois de novembre dans Direction|PHP. C'est un livre efficace, destiné à bien présenter les types d'attaques d'applications Web et comment s'en défendre.
De nombreuses fonctions existent pour sécuriser votre code en PHP.
Cependant, les fonctions de sécurité pure sont un peu dispersées dans le manuel de PHP.
Le site « tuvinh » a redétaillé un article paru sur le site « Sitepoint », montrant les 7 erreurs classiques qu'il est important de sécuriser. Ces erreurs classiques sont :
Les erreurs d'entrée non validées
Les contrôles d'accès
La protection des sessions
Les Cross Site Scripting (XSS)
Les injections SQL
Le rapport d'erreurs
La gestion d'erreurs tuvinh : Top 7 PHP Security Blunders (0 visite) Sitepoint : Top 7 PHP Security Blunders (0 visite)