Quand je parle de sécurité c'est au sens très large du terme.

- Penser à tous les cas de figures qui pourraient se présenter.
Chercher et trouver la meilleur solution adaptée à son projet tout en prenant en compte les conséquences en terme de performances.

- Sécuriser son site: éventuelles erreurs, pouvant se produire à la suite d'une situation particulière ou dans un cas précis, et ce même de type Notice...

- Chercher et détecter tous les cas de figure de problèmes liés aux formulaires, aux variables [i]$_GET[/i], [i]$_POST[/i], aux sessions, aux cookies...
Et non forcément celles qui peuvent apparaitre pendant une utilisation [i]normale[/i] du site...

- La gestion des erreurs, des messages d'avertissements en cas d'une action non acceptée sans gêner la navigation de l'utilisateur...
Et ensuite tout optimiser pour que quoi qu'il arrive, les performances ou la stabilité du site ne soient pas perturbées.
Ca c'est passionnant pour moi.

Quand je disais long, je voulais dire long, pour moi, de trouver la solution car parfois compliqué oui.
Long aussi car parfois la cause qui pourrait paraitre évidente à un initié, l'ai beaucoup moins pour un [i]débutant[/i] au départ.

Je ne vois pas vraiment en quoi sécurité et performances sont liés, si ce n'est qu'il faut y penser dès la conception de l'application. La sécurité n'impacte généralement pas sur les performances. Ce n'est pas une vérification de la session, par exemple, qui va plomber tes perfs !

Là où je ne suis pas d'accord c'est que tu dis qu'identifier les bottlenecks et les corriger est plus long que compliqué. Pour ma part c'est totalement l'inverse ! La plupart de mes projets sont en [url=http://en.wikipedia.org/wiki/Test_Driven_Development]TDD[/url] et en [url=http://en.wikipedia.org/wiki/Continuous_integration]CI[/url]. Il est donc très facile d'identifier les points qui coincent. Par contre, lorsque les performances font défaut et qu'il y a un vrai problème de dimensionnement, c'est vraiment plus difficile à régler que long !

Il s'agit bien sûr de mon retour d'expérience, qui n'est pas forcément adapté à celui de ton domaine. J'espère que mon point de vue te sera utile.

C'est vraiment compliqué, pour moi, d'allier sécurité et performances d'un site web en Php.
J'ai mis quasiment 2 ans pour y arriver sur de mes sites web (pas 2 ans en continue évidemment).
Car se sont souvent de tous petits détails qui font défaut.

[url]http://palacesec.freehostia.com/[/url]
[i](Pour le côté pub, eh bien il n'y en a aucune sur mon site, tout est entièrement gratuit, et Google ne prend quasiment plus en compte le nombre de liens extérieurs.)[/i]

Jusqu'à il y a deux ou trois jours, les pages Php étaient par moments très lentes a charger.
Et cela n'était pas simple de détecter les causes.

Voilà, pour le moment tout à l'air de bien fonctionner, et pour moi, encore une fois, cela a été le plus long et le plus compliqué a faire.

J'aimerais savoir si vous avez le même sentiment ou des remarques ou conseils à ce sujet.