Mammouth du PHP |
1255 Messages
26 oct. 2012, 19:45
Quant au moyen que l'attaquant a pu utiliser pour modifier ton site. Si tu as une page permettant l'upload de fichiers c'est la première chose à vérifier. Si tu as une interface d'administration également. Enfin après si tu trouves le code utilisé pour modifier tes urls ça te donnera déjà un indice significatif.
le problème c'est que j'ai vue ces url pas souvent, j'ai bien sur une variable genre $url_site = "l'adresse de mon site" mais elle n'a pas été modifiée.
à la question: "Tu initialises tes variables avant utilisation ?": toujours
à la question: "Tu échappes tes données avec une fonction d'échappement (mysql_escape_string() ou consors) avant utilisation dans une requête SQL ?": non pas vraiment mais je fait en sorte de bien vérifier ce qui est posté avec un preg_match. J'utilise seulement mysql_real_escape_string() pour le pseudo et le mot de passe lors de la connexion
à la question: "Tu as désactivé dans ta configuration de php les fonctionnalités préjudiciables à la sécurité (essentiellement register_globals) ?": je comprend pas trop mais mon hébergeur à, de base, l'option "addslashes()" d'activée
Pour mes formulaire je ré affiche toujours ce que la personne à taper (quand il y a une erreur (genre: un des champs est vide)) et j'utilise:
exemple sur un formulaire:
partie PHP:
if(isset($_POST['message'])) { $RafMessage = $_POST['message']; } else { $RafMessage = ""; }
partie HTML/PHP;
<textarea name="message"><?php echo htmlentities($RafMessage); ?></textarea>
est ce suffisant ?
à la question: "Tu utilises lors de tes développements un niveau d'erreur (error_reporting) suffisamment haut pour repérer les erreurs non fatales mais potentiellement préjudiciables à la sécurité (valeur à E_ALL) ?": j'ai par défaut, un fichier error_log qui est créé si il y a une erreur quelconque
Enfin, je n'ai pas de partie d'upload.