Vous consultez les articles taggés sécurité
Juil
28

Recommandations de sécurité Ez publish et PHP

Failles xss

Avec Ez Publish

Utiliser la fonction wash() sur les variables dans les templates, surtout sur les variables pouvant être modifiées par l’utilisateur (paramètres d’url, champs de formulaire, etc)

En PHP

La stratégie de protection principale contre les injections HTML est la même que pour toutes les injections. Il est recommandé d’implémenter une fonction de filtrage en entrée et une fonction d’encodage en HTML en sortie.

L’encodage en sortie peut être effectué par deux fonctions en PHP :

htmlspecialchars() remplace tous les caractères qui ont une signification spéciale en HTML par leur entité HTML. Cette fonction va cibler les caractères suivants :

  • &, le « et commercial », qui commence les séquences HTML (telles que &) ;
  • ‘, les guillemets simples, utilisés dans les attributs ;
  • , les guillemets doubles, utilisés dans les attributs ;
  • < et >, les signes « inférieur à » et « supérieur à », qui délimitent une balise.

htmlentities() est une version plus complète de htmlspecialchars(), elle remplace dans une chaîne tous les caractères possibles par leur séquence HTML. Il est possible de spécifier le masque et l’encodage à utiliser

<a href="http://www.php.net/htmlentities" target="blank">htmlentities</a>($str, ENT_QUOTES, 'UTF-8');
Jan
25

Maintenez à jour vos librairies, plugins et CMS

Maintenir à jour ces librairies PHP et Javascript

Aujourd’hui pas de présentation de plugins, ou d’astuce de code mais juste un rappel d’une chose importante que l’on peut oublier assez souvent

Tenez à jour vos librairies externe, vos plugins et votre CMS

Cela peut être des librairies  PHP (librairie de manipulation d’image par exemple ou d’upload de fichiers) ou Javascript (comme CKEditor, TinyMCE, etc).

Pourquoi ?

Lire la suite

Déc
30

WordPress : version 3.0.4 et rappels sur la mise à jour

Edit (31/12/2010) : Il semble que la faille persiste toujours malgré la mise à jour 3.0.4 (d’après ce que j’ai lu chez Korben). Une mise à jour viendra certainement corriger cela prochainement.

Une petite news vite fait pour vous signaler qu’une mise à jour de WordPress est disponible (version 3.0.4, en français). Elle corrige une faille XSS dans la librairie KSES (je suis d’ailleurs en train de rédiger un article sur XSS).

J’ai mis à jour notre blog ce matin. Je vous conseille de faire de même si vous utilisez WordPress.

Pour terminer, voici un petit rappel des étapes à suivre lors d’une mise à jour WordPress :

  1. Effectuez une sauvegarde de vos fichiers et de votre base de données
  2. Téléchargez la dernière version de WordPress et décompressez l’archive en local
  3. Mettez votre site en mode maintenance afin que les visiteurs qui consultent le site pendant la mise à jour ne tombent pas sur une erreur (j’utilise le plugin Maintenance Mode)
  4. Désactivez tous vos plugins (sauf Maintenance Mode) pour éviter les problèmes de compatibilité avec la nouvelle version
  5. Mettez en ligne (FTP) les fichiers de la nouvelle version de WordPress (cela prend un peu de temps)
  6. Rendez-vous sur la page http://[votreDomaine]/wp-admin/wp-upgrade.php (cela va mettre à jour la base de données en cas de besoin)
  7. Si tout s’est bien passé, réactivez vos plugins, puis désactivez Maintenance Mode. Sinon, vous serez content d’avoir un backup !

Si vous utilisez WordPress, je serais bien curieux de savoir si vous faites vos mises à jour régulièrement.

Source de la news

Edito

Bienvenue sur Mémorandom.

Mémorandom est le blog de 2 développeurs web, Appo et Nico.

Vous y trouverez des informations sur différents domaines touchant de près ou de loin au développement web

Tutoriels Yii Framework

Nos derniers articles

Blogs Dev

Liens

Étiquettes