Site de communication et d'échange d'informations (techniques & pédagogiques) entre les formateurs E.I.Te et les clients ou prospects
Protéger un développement PHP contre les attaques passe notamment par l'application de certaines règles de configuration. La mise en œuvre d'une stratégie
de programmation défensive est un plus.
Le fichier de configuration PHP
En vue de sécuriser un site Web ou une application développée en PHP, certaines règles simples sont applicables lors de l'étape de configuration de l'environnement d'exécution.
Pour modifier les paramètres de PHP, il suffit d'éditer le fichier php.ini qui se trouve dans /etc/phpX/apache/php.ini en remplaçant le X par 4 ou 5 selon la version de PHP utilisée.
1) Mettre la variable register_globals en off
Quand register_globals est à on, les variables EGPCS (Environnement, GET, POST, Cookie, Server) sont enregistrées comme des variables globales. Ainsi, une URL contenant une variable, par exemple http://www.site.com/index.php?var=test crée une variable $var sans besoin d'autre code. De manière général, il faut éviter au maximum les variables globales et utiliser des flots de données explicites.
2) Limiter l'accès aux répertoires
Le safe mode est le mode de sécurité de PHP. Lorsqu'il est activé, il empêche un script d'accéder à des fichiers situés en dehors du dossier où se trouve le site.
Tout l'article sur Le Journal du Net :
http://www.journaldunet.com/developpeur/php/tutoriel-pratique/securiser-une-application-web-developpee-en-php.shtml