bonjour
mon site a été hacké ,je viens de découvrir ça..
svp c'est quoi les premiers étapes que je dois faire pour limité le danger?et comment faire pour réglé ça et le rendre sécurisé sac hant que le msg du hacker c’était" ton site a pleine de failles :(:(

Merci à tous

Bonjour,

La principale faille lié au PHP provient de l'injection SQL qui consiste à saisir des commande SQL dans les champs de saisie.

Pour l'éviter, il faut systématiquement ajouter l'utilisation de la fonction mysql_real_escape_string() sur les zones saisies lors de la constitution des ordres SQL.

Si tu fait :
$SQL = "Select * from user where id = '$id' and pass = '$pass'"
et que l'on saisie admin et toto' or '1' = '1
on obtient :
Select * from user where id = 'admin' and pass = 'toto' or '1' = '1'

avec mysql_real_escape_string() on obtiendrai
Select * from user where id = 'admin' and pass = 'toto\' or \'1\' = \'1'

salut,

- Limiter les formulaires
- Vérifier les fichiers que l'on autorise à l'upload,
- Vérifier d'où proviennent les variables avant de les utiliser (pas de register globals = on et utilisation de $_POST / $_GET / $_COOKIE).

le message c'est un truc ajouter à un fichier (tu ouvre le fichier avec notepad et en bas y a un message ?)

Voila, c'est un sujet extrêmement vaste, sans plus de détails je ne peux pas trop t'aider.

Regarde s'il n'y a pas de nouveau fichier (que tu ne connais pas) sur ton site, regarde le contenu des images (si tu autorise un tel upload) avec le bloc note.

edit : ha oui tiens j'ai pas parlé des injections SQL
regarde aussi faille xss sur le net

@+

merci pour vos réponses.
en faite jusqu’à maintenant j'ai supprimé le site sur File Manager.parce que j'ai plus accès à mon compte FTP :s..je veux re-uploadé le site maintenant après quelques modifications mais comment dois-je me connecté sur filezila pour uploadé?
Mes remerciements.

heu http://filezilla.fr/ ?


@+

oui..

Reuuh ^^'
voilà j'ai récupéré le mot de passe de FTP,en faite j'ai réussi a attribué un nouveau..
je suis maintenant entrain d'hébergé la nouvelle version du site.Mais la question qui se pose est ce qu'il suffit de changer les pwd et re-hebergé à nouveau ? cad les hackers auront plus d’accès au site maintenant ?
en parallèle y a t-il d'autre mesure de sécurité qu'il faut faire pour ne plus avoir tel problème ?
@Mazarini pour mysql_real_escape_string() j'ai pas bien compris?il faut l'ajouter en chaque requête d'insert?
@Moogli pour Limiter les formulaires;cad ?

Merci d'avance pour vos réponses et idées.^^

http://www.php.net/manual/fr/security.php

merci pour l'info

$merci++;

Merci à tous ^^