[PHP] PHP & Sécurité

floflo44 · Janvier 19, 2005, 3:26

Voila bonjour à tous

Voudrais faire un site mais j’hésite entre le php et l’asp

Quelqu’un de mon entourage et qui est très qualifié m’a dit que le PHP est très facilement “piratable” et qu’il vaut mieux que je me dirige vers l’ASP si je veux être le plus protégé possible, de plus il m’a déconseillé de faire mon site avec une interface tout faite.

Alors le php est-t-il vraiment très peu sécurisé ?

Si ce n’est pas le cas, que me conseilleriez-vous pour créer mon site (interface tout faite)

Merci pour vos réponses

NeqO_1_1 · Janvier 19, 2005, 3:31

moi il me semble pas, mais je suis pas assze qualifié pour te l’affirmer

en général PHP tourne sur des serveurs Linux, alors que l’asp tourne sur du Windows… mais je vais pas entrer dans cette polémique

tu peux aller faire un tour sur www.phpsecure.info qui explique comment sécuriser un site PHP :jap:

Gooom · Janvier 19, 2005, 3:40

asp est mort :o …

Sans-Nom · Janvier 19, 2005, 3:40

Y a pas que la notion de sécurité, ça dépend aussi de ton serveur (apache? iis?), de ce qu’il autorise ou non. PHP peut être facilement piratable comme ASP l’est certainement si tu fais le fou avec des fonctions dont les trous de sécurités sont évident.

Genre la dernière faille phpbb2 c’est à cause de preg_replace (et des auteurs de phpbb2) qui permet d’éxécuter du code PHP : évidemment, si tu te mets à te servir de ce genre de fonctionnalités (car preg_replace c’est une fonction largement usité, l’option pour éxécuter php, non) c’est sûr que tu risque beaucoup par rapport à si tu t’en sers pas.

Maintenant, je suis sûr qu’ASP est tout aussi facilement piratable que ne l’est PHP;

C’est surtout le serveur qui est derrière qui sera piratable (outre les injections possibles en php ou asp), mais bon : une chose sûre, à partir du moment où tu fais un site web en PHP ou en ASP : c’est à toi de sécuriser le code.

ie: même sur une version très facilement piratable de PHP (ou ASP), tu peux faire un truc qui ne le soit pas, simplement parce que tu évites les fonctions “douteuses”.

A noter aussi qu’il faut mettre régulièrement son serveur à jour (pas tous les ans), ce qui permet de bénéficier des derniers patchs.

Mais ça

(perso, je te conseillerai PHP, surtout si tu veux exhiber tes créations sur un hébergeur gratuit : le plus souvent il y a PHP (gratuit, et pas de licences à payer justement).

Tandis qu’ASP c’est un peu plus dur en gratuit, même si ça doit exister, mais là … je laisse la parole aux fana d’ASP (et .NET)

KisSCoOl · Janvier 19, 2005, 4:01

à lire (en anglais) : http://fr.php.net/security-note.php

x1fr · Janvier 19, 2005, 5:25

en gros: ce n’est pas la technologie ou le langage utilisé qui est un trou de sécurité, c’est ton script, quel que soit le langage en question

la faille se situe toujours entre le clavier et le siège

floflo44 · Janvier 19, 2005, 6:20

Groom -> Pourrais tu un peu plus argumenter ?

x1fr -> oui je confirme, entre le clavier et le siège

Sinon merci pour vos réponses, mais j’espère que d’autres experts pourraient donner leur avis :whistle:

x1fr · Janvier 19, 2005, 7:02

ben tout est dis je crois, le sujet portait sur la sécurité de php et éventuellement d’asp

tout dépend de comment tu t’en sert

un système (linux ou win ou autre) a beau être super sécurisé, si tu met quelqu’un sur une session root/admin, il te démoli la machine

avec php c’est pareil, si ton script est clean, tu ne craint rien

à ce sujet, il existe désormais un petit logiciel sympa, qui permet de tester la sécurité d’un site PHP
http://www.zataz.org/news/7618/Remote_Php_Vulnerabilities_Scanner.html

C’est a double tranchant, car il permet de tester son propre site, mais également d’en profiter pour trouver des failles sur d’autres sites, donc je donne simplement le lien sur zataz, pas de lien direct

KisSCoOl · Janvier 19, 2005, 7:50

sympa RPVS :oui:

Sans-Nom · Janvier 19, 2005, 9:00

Faut que je le trouve, grumpf !!

KisSCoOl · Janvier 19, 2005, 10:20

SN > Google est ton koupain

sérieux, j’ai même pas chercher 2 min … et après test, j’ai déjà des failles sur ma page d’accueil [:berk] [:shy]

Sans-Nom · Janvier 19, 2005, 10:59

Kiss> j’ai jamais dis que je l’avais cherché ^^

TheGuit · Janvier 19, 2005, 11:19

moi j’ai tester mon site :

Number of made request: 69
vuln include: 0
vuln xss: 2
err fopen: 0
err inc: 0
err sql: 0

c’est quoi les xss ??

x1fr · Janvier 19, 2005, 11:33

va permet d’exécuter du code
ca veut dire Cross Site Scripting (X comme Cross bien sur, zont fumé ces anglais xD)

il me semble que ca permet de faire exécuter du code contenu dans un fichier distant, mais je n’en suis pas sûr
ca doit pas etre trop dur de trouver des articles là dessus, il y a en a nottament un sur nexen il me semble

KisSCoOl · Janvier 20, 2005, 12:26

quelques articles sur le sujet :
http://www.phpsecure.info/v2/article/XSS.php
http://developpeur.journaldunet.com/tutoriel/php/031030php_nexen-xss1.shtml

Sans-Nom · Janvier 20, 2005, 7:16

Moi j’ai eu du XSS :

?cat_id=www.google.fr(…)

ce que je pige pas, c’est que je fais un intval :o

KisSCoOl · Janvier 20, 2005, 10:01

mon script de login à l’air sur :oui:

rpvs.exe http://[:siffle]/ -bf -v

Number of made request: 35
vuln include: 0
vuln xss: 0
err fopen: 0
err inc: 0
err sql: 0

problème : il arrive pas à tester les autres pages, vu qu’il arrive pas à contourner le login

_Raynor_1_1 · Janvier 20, 2005, 10:20

Je l’ai fais sur mes sites et il me trouve 0 “failles” pour chaque points, mais j’ai du mal à le croire…