Sécurité web

La sécurité de votre site Internet, de votre serveur web et de la base de données depend surtout de bonnes pratiques.

Liste des bonnes pratiques pour sécuriser un site.

Tester les champs de vos formulaires avant validation.

Il faut être sûr que vos champs obligatoires soient renseignés et les champs emails ont le bon format avant validation.
Indiquez les bons types de vos champs input (email, password, number...).

Hachage des mots de passes

Encoder les mots de passe utilisateur avant de les stocker dans la base de données.
Pour réaliser le Hachage du mot de passe vous devez utiliser la fonction PHP password_hash ().

            <?php

            $passWord = password_hash("monMotDePasse", PASSWORD_DEFAULT);

    ?>
 
    

Pour comparer un mot de passe encodé avec la fonction password_hash() vous devez utiliser la fonction PHP password_verify().
Il vous faudra donc récupérer depuis la base de données les infos d'un utilisateur avec son login.
Si un résultat existe alors il faudra comparer le mot de passe saisi depuis le formulaire de connexion avec le mot de passe récupéré de la base de données.

<?php



// recupération du mot de passe utilisateur encodé avec la fonction password_hash().
$hash = $userPAssword;
$passLogin = $_POST['passWord'] //Récupération du mot passe du formulaire de login.
if (password_verify($passLogin, $hash)) {
    echo 'Le mot de passe est valide !';
} else {
    echo 'Le mot de passe est invalide.';
}

?>
 
    

Filtrer les valeurs récupérées depuis les superGlobales $_POST et $_GET.

  
    
    <?php
    <input type='text' name='titreArticle' value='mon titre pour mon article'/>

    //Fonction de filtre du $_POST pour encoder le caractères spéciaux et échapper le texte.
    $titreArticle = filter_input(INPUT_POST, 'titreArticle', 
     FILTER_SANITIZE_FULL_SPECIAL_CHARS,FILTER_SANITIZE_ADD_SLASHES);

    //Ajout des filtres pour supprimer des balises et échapper les caractères
    $page = filter_input(INPUT_GET, 'page',FILTER_SANITIZE_ADD_SLASHES, FILTER_SANITIZE_STRING);

    //Remplace la méthode suivante
    $titreArticle = $_POST['titreArticle'];
     ?>
    

• Voir la liste de tous les filtres de nettoyage PHP d'une donnée (évite les injections en supprimant ou en encodant certains carectères).
• Voir la liste de tous les filtres de validation PHP d'une donnée (Valide le format d'une donnée. ex:email, date, int...).

Créer un compte d'accès à la base de données dédié à votre script PHP.

Dans votre phpMyAdmin :

• Créer un nouveau profil
• Donner un nom à votre profil (ex : phpUser)
• Choisir le nom d'hôte "localhost"
• Renseigner un mot de passe.
• Ne laisser que les droits de gestion sur les données
• Select
• Update
• Delete
• Insert

Renseigner les nouvelles informations de connexion à votre base de données dans votre fichier conf.ini.php

Créer une connexion sécurisée HTTPS à votre site Internet.

Gestion des erreurs PHP

Configurer Apache avec le .htaccess

Une configuration minutieuse du serveur web permet d'éviter à un utilisateur de naviguer sur des pages auxquelles il n'est pas censé avoir accès. Le serveur web doit ainsi être configuré en suivant les consignes suivantes :

• Empêcher le parcours des pages situés en dessous de la racine du site web (mécanisme de chroot) ;
• Désactiver l'affichage des fichiers présents dans un répertoire ne contenant pas de fichier d'index (« Directory Browsing ») ;
• Supprimer les répertoires et fichiers inutiles (dont les fichiers cachés) ;
• S'assurer que le serveur protège l'accès des répertoires contenant des données sensibles ;
• Supprimer les options de configuration superflues ;
• S'assurer que le serveur interprète correctement les pages dynamiques, y compris les fichiers de sauvegarde (.bak) ;
• Supprimer les interpréteurs de scripts superflus ;
• Empêcher la consultation en mode HTTP des pages accessibles en HTTPS.