8791 sujets

Développement web côté serveur, CMS

[Newletter] Sécurité.

Bonjour,

Je cherche un avis concernant les différents système de newsletter disponibles, j'ai trouver pour l'instant 2 systèmes :

WAnewsletter

Php List

Pour l'instant les 2 fonctionnent correctement, ce n'est pas un problem de fonctionnalitées, de mise en page, de configuration, mais bien un problème de sécurité lié a son utilisation, les failles et ce qui pourrait causer un black-listage.

C'est un système que je compte utiliser pour un domaine professionnel, qui gère plusieurs noms de domaine et qui ne dois pas être black-lister...

Après quelque recherche sur le net, des utilisateurs trouvent des failles a ces systèmes, comme je n'ai pas encore la pratique pour ce type d'outils je me tourne vers les commentaires d'autres utilisateurs, qui ne sont pas forcement des plus cohérents (mon mien c le meilleur).

Bref, un système de newletter simple, mais surtout le plus sécurisé possible.

Des avis ?
salut...

Pour juger un script php sécurisé il suffit simplement de vérifier la gestion des erreurs et des valeurs de variables et pour ce cas particulier, si les valeurs de formulaires sont correctement gérées.si c'est le cas, c'est ok.

mais comment les reconnaitres?

if (!empty...ma variable

mysql_real_escape_string(ma_variable)

if (is_string...

if (is_int...

trim(htmlentities...


c'est un bon début, il gére a-priori les erreurs et les injections potentielles.ce sont les tests minimums pour la sécurité.maintenant, il convient de prendre en compte la configuration de son serveur d'hébergement ou de tests.

.error_reporting et sa valeur(variable non initialisé, syntaxe...etc)
.if (get_magic_quotes_gpc()) { addslashes ou pas
.si classes, sont t'elles php4 ou 5, c'est pas pareil...voir si __construct() ou private, public pour les variables membres, si oui c'est du php 5 sinon version 4.et çà fait la différence en terme de sécurité;)
.si session, on doit trouver au minimum,
session_regenerate_id();
après authentification, c'est le moins

j'en passe mais ce sont les minimas à prendre en compte pour du code sécurisé.

je pourrais et c'est le moins, préciser les tests en local(important), un éditeur php digne de ce nom(pour repérer les erreurs de logique, de syntaxe, de variables, les scripts tout faits peuvent aussi comportés ce type d'erreurs), un esprit critique et...un peu de temps pour maitriser, au moins, la syntaxe et l'esprit de php.
Modifié par koala64 (01 Jan 2008 - 23:23)
Sujet clos
Aller à