Sécurité : Différence entre versions
(→Les titres de page et message d'erreur) |
(→Filtrez toutes les données externes) |
||
| (2 révisions intermédiaires par 2 utilisateurs non affichées) | |||
| Ligne 3 : | Ligne 3 : | ||
A vous de prouver leur validité. | A vous de prouver leur validité. | ||
| − | + | Vérifier que la variable contient ce que vous attendez : | |
| − | Utiliser ''intval'' si vous attendez un entier | + | * Utiliser ''intval'' si vous attendez un entier |
| − | Utiliser ''strval'' si vous attendez une chaîne | + | * Utiliser ''strval'' si vous attendez une chaîne |
| − | etc ... | + | * etc ... |
<pre> | <pre> | ||
| Ligne 136 : | Ligne 136 : | ||
=== Modifications fonctionnelles apportées sur ovidentia 6.1.0 === | === Modifications fonctionnelles apportées sur ovidentia 6.1.0 === | ||
| − | + | Liste des modifications fonctionnelles pour les corrections de sécurité qui peuvent entraîner des dysfonctionnements : | |
| − | * Les données de la variable $_SESSION ne sont plus | + | * Les données de la variable $_SESSION ne sont plus intégrées dans les variables globales |
| − | * Les données de la variable $_FILES ne sont plus | + | * Les données de la variable $_FILES ne sont plus intégrées dans les variables globales |
| − | * L'authentification par cookie | + | * L'authentification par cookie a été modifiée |
| − | === Sécuriser une installation d' | + | === Sécuriser une installation d'Ovidentia === |
| − | Rendre | + | Rendre Ovidentia plus sécurisé avec le paramétrage : |
* Activer le filtre de l'éditeur WYSIWYG dans les options du site | * Activer le filtre de l'éditeur WYSIWYG dans les options du site | ||
| Ligne 151 : | Ligne 151 : | ||
* error_reporting E_NONE | * error_reporting E_NONE | ||
* $babNTauth ne doit pas être activé dans config.php | * $babNTauth ne doit pas être activé dans config.php | ||
| + | |||
| + | Dans le php.ini : | ||
| + | * display_errors = OFF | ||
| + | * display_startup_errors=OFF | ||
| + | * log_errors = On | ||
| + | * error_log = /var/log/php.log | ||
Version actuelle en date du 2 novembre 2009 à 16:52
Sommaire
- 1 Filtrez toutes les données externes
- 2 Register globals
- 3 Protection des variables de sorties
- 4 Affichage des messages de debug
- 5 Configuration du serveur de développement
- 6 Les addons
- 7 Chargement de fichiers
- 8 Les titres de page et messages d'erreurs
- 9 Modifications fonctionnelles apportées sur ovidentia 6.1.0
- 10 Sécuriser une installation d'Ovidentia
Filtrez toutes les données externes
Toutes les données en entrée doivent être considérées comme invalides. A vous de prouver leur validité.
Vérifier que la variable contient ce que vous attendez :
- Utiliser intval si vous attendez un entier
- Utiliser strval si vous attendez une chaîne
- etc ...
$total = intval( bab_pp('total', 0));
$name = strval( bab_pp('name', 0));
- Initialiser vos variables :
Code incorrect :
if( .... )
{
$var = 1;
}
// utilisation de $var
Code correct :
$var = 0;
if( .... )
{
$var = 1;
}
// utilisation de $var
Register globals
Développer avec la directive register_globals à Off.
Et utiliser bab_rp(), bab_pp(), bab_gp() ( voir Règles de codage#Variables externes à PHP ( GET et POST ).
Utiliser les superglobals pour le reste: $_SESSION, $_COOKIE, etc...
Protection des variables de sorties
- Vers le navigateur :
- Les variables à destination du navigateur doivent être protégées, utiliser la fonction :
- bab_toHtml() ( voir Règles de codage#Protection des variables de sorties )
- Utiliser urlencode() pour les paramètres d'url.
- Vers la base de données:
- Toujours placer les données entre apostrophes, quel que soit le type.
- Exemple: select * from table where id='2'
- Toujours utiliser db_escape_string() pour protéger les variables passées dans les requêtes SQL.
- Exemple : select id from table where id_user=\'.$babDB->db_escape_string($var).\';
- Ou la méthode quote() qui permet de sérialiser la variable si c'est un tableau
- Exemple : select id from table where id_user=IN(.$babDB->quote($var).);
Javascript
Lorsque c'est possible, il faut éviter d'utiliser innerHTML, préférer les syntaxes : .appendChild(document.createTextNode(label));
Affichage des messages de debug
Utiliser la fonction bab_debug() ( Voir .Règles de codage#Debug )
Configuration du serveur de développement
Le serveur de développement doit être configuré pour reporter les erreurs.
error_reporting = E_ALL display_errors = On
On peut aussi inclure ces directives dans le fichier index.php du site :
ini_set('error_reporting', E_ALL);
ini_set('display_errors', true);
Les addons
Dans chaque fichier, le premier fichier à inclure est "base.php" :
/************************************************************************ * OVIDENTIA http://www.ovidentia.org * ************************************************************************ * Copyright (c) 2003 by CANTICO ( http://www.cantico.fr ) * ... ************************************************************************/ include_once 'base.php'; ....
Ce fichier est à créer dans le même répertoire s'il le faut et doit contenir une seule instruction: exit;
Comme ceci :
<?php /************************************************************************ * OVIDENTIA http://www.ovidentia.org * ************************************************************************ * Copyright (c) 2003 by CANTICO ( http://www.cantico.fr ) * * * .... ************************************************************************/ exit; ?>
Ajouter un fichier index.html vide pour ne pas lister le répertoire.
Chargement de fichiers
L'extension des fichiers chargés par l'utilisateur sur le serveur doit être filtrée. On ne doit pas permettre de charger des fichiers php, js, sh, asp, ....
D'une manière générale tout fichier qui peut être exécuté sur le serveur ne doit pas être chargé.
Sinon, s'il faut le faire, le fichier doit être stocké sur le serveur en transformant le nom afin de masquer l'extension.
De plus, les fichiers chargés sur le serveur ne doivent pas être accessibles à l'utilisateur.
Un fichier temporaire ne doit pas être ouvert directement, les seules fonctions autorisées pour manipuler un fichier temporaire en provenance de l'utilisateur sont move_uploaded_file() et is_uploaded_file()
Les titres de page et messages d'erreurs
Pour les titres de page, il est préférable d'utiliser $babBody->setTitle() si le titre est du texte brut car la transformation en html est intégrée dans la fonction.
Pour les messages d'erreurs, il est préférable d'utiliser $babBody->addError() au lieu de $babBody->msgerror.
La fonction s'appelle addError car la prochaine version des skins permettra la gestion des messages d'erreurs multiples. Pour le moment, les messages d'erreurs sont séparés par des retours à la ligne.
Modifications fonctionnelles apportées sur ovidentia 6.1.0
Liste des modifications fonctionnelles pour les corrections de sécurité qui peuvent entraîner des dysfonctionnements :
- Les données de la variable $_SESSION ne sont plus intégrées dans les variables globales
- Les données de la variable $_FILES ne sont plus intégrées dans les variables globales
- L'authentification par cookie a été modifiée
Sécuriser une installation d'Ovidentia
Rendre Ovidentia plus sécurisé avec le paramétrage :
- Activer le filtre de l'éditeur WYSIWYG dans les options du site
- register_globals off
- magic_quotes off
- error_reporting E_NONE
- $babNTauth ne doit pas être activé dans config.php
Dans le php.ini :
- display_errors = OFF
- display_startup_errors=OFF
- log_errors = On
- error_log = /var/log/php.log
