Conférence PHP Sécurité du 29 janvier 2007
L’AFUP organisait hier soir, une conférence sur PHP et la sécurité au niveau des sites web & applications web.
Pendant près de 2h, Damien Séguy, qui est membre du PHPGroup, co-fondateur de nexen.net et rédacteur en chef de Direction|PHP, nous a parlé, dans une ambiance très chaleureuse, des différents problèmes de sécurité au niveau des injections (qu’elles soient SQL, ou non), mais aussi de type XSS ou CSRF.
Plusieurs types d’attaques avec de très bons exemples ont été abordés, et la façon de les éviter. On se rend tout de même compte que la sécurité d’un site web n’est pas une chose à prendre à la légère (”c’est un état d’esprit”, comme quelqu’un l’a dit à la conférence), et les possibilités d’attaques sont extrèmements nombreuses, tant le nombre de languages utilisés est grand, et la complexité et inter-opérabilité de ceux-ci est délicate.
En résumé, il est impératif de bien protéger ses requêtes MySQL (attention aux caractères spéciaux, aux guillemets simples & doubles), faites très attention aux données $_GET et $_POST, à ce qu’elles contiennent, et enfin aux sessions de vos membres. Pensez à regénérer leur ID session régulièrement (si vous êtes sous PHP 5, sinon ce n’est pas possible), penser à supprimer les sessions inutilisées, à demander à nouveau au membre de s’identifier, et à controler les données entrantes, qui circulent, et sortantes.
Pour finir je dirais que c’était une excellente conférence, même si les sièges étaient particulièrement inconfortables, mais une conférence gratuite et bien planifiée, on ne va pas se plaindre ! Donc si vous même, vous vous intéressez au php et pas qu’à sa sécurité (même si c’est quand même un point essentiel au développement d’une application web), rendez vous sur les sites de l’AFUP et de Nexen ( ou même sur la page des conférences sur Nexen, ou vous pourrez trouver vidéos, pdf et présentations ) pour être au courant des dernières nouvelles.
PS : les slides présentés pendant la conférence devraient être bientot disponibles sur le site de nexen, sur la page des conférences 
Informations & Liens
Utilisez les liens suivants pour être au courant des réactions à cet article, diffuser cet article et voir les autres articles de la même catégorie.
En effet la conférence était géniale mais quand on ressort de là on devient un peu parano, on se rend compte que l’on est pas venu pour rien loin de là . (en plus il y avait en cadeau un magnifique Tatou PHP ; avis aux amateurs
)