8795 sujets

Développement web côté serveur, CMS

Sécurité pages admin

Salut,

Débutant,
j'ai un site perso pour lequel je me suis fait un dossier admin, contenant toute la partie Php me permettant de remplir les champs de ma base de donnée.

Personne à part moi n’accèdera à cette partie.

pour des raisons de sécurité, est ce que sécuriser ce dossier avec un htaccess est suffisant ?
ou dois je quand même protéger les variables avec mysql_real_escape_string ?

Merci

Smiley smile
protection htaccess (enfin htpassword) va empêcher d'autres personnes d'y accéder.

A partir de là :
- soit ta partie admin est de toute façon trop sensible et il y a moyen de tout casser en utilisant les fonctions de la manière normale prévue par ton back-office. Et dans ce cas, se protéger des failles me paraît d'intérêt réduit
- soit ta partie admin ne l'est pas et là 2 choix :
1) tu pries pour ne jamais avoir une attaque en brut de force pour accéder à ta partie admin (bon, en même temps, malgré 7 ans de création de jeux en ligne, aucun de mes sites n'a été violenté de cette manière) ou un vol de compte et tu ne sécurises pas
2) t'es parano et persuadé que quelqu'un va vouloir du mal à ton site et à sa partie admin et là tu protèges. (à appliquer OBLIGATOIREMENT si le site contient des données sensibles comme des numéros de banque,...)

Bref, tout dépend du site, mais perso, je pèserais les risques d'avoir un hackeur sur ton site avant de prendre du temps pour faire ça.

PS: passe au mysqli_, on rappelle que mysql_ est déprécié depuis PHP5 et obsolète depuis le 5.5. Tiens, en cadeau un tutoriel simple, en Français pour faire la transition : passer de mysql_ à mysqli_
Salut Lothindil

"soit ta partie admin est de toute façon trop sensible et il y a moyen de tout casser en utilisant les fonctions de la manière normale prévue par ton back-office"

Je n'y connais pas grand chose, peut tu me dire en quoi une partie admin peut être plus sensible qu'une autre, si elle est protégée avec un htaccess et ht password ?

ma partie admin est juste composé d'un formulaire, dont je récupère les données pour les insérer à ma bdd.
je ne me suis pas protégé des failles.

Il n'y a pas de partie pour poster un commentaire ou autre interactions avec l'utilisateur.
elle sert juste à remplir ma Bdd.
Non, la question était une fois passée le password.

Dans le cas de mon jeu par exemple, sur le serveur test, j'ai des pages qui me permettent de vider des morceaux entier de base de données, genre pour supprimer les cartes que les joueurs ne devraient jamais voir ou les personnages créer pour les tests.

J'ai bossé dernièrement sur un projet où ils ont besoin de faire une ràz complète de ce qui a été crée l'année d'avant à chaque rentrée scolaire. La partie admin possède donc une page qui permet de vider totalement les tables des messages. La seule protection est un second mot de passe ainsi qu'une vérification de dates.

Ils ont de la même manière un panel qui permet de bannir, changer les modérateurs ou supprimer des comptes. Si l'un des comptes admin est hacké, le hackeur peut, en se servant des fonctionnalités standards, supprimer tous les membres, admins compris, ou de passer un compte créer pour l'occasion en super-admin et de virer tous les autres en utilisateurs.
Là non plus, c'est plus la peine de protéger les requêtes, même sans jouer aux injections, un hackeur entrant dans la zone peut tout foutre en l'air rien qu'avec les fonctions prévue à la base. (par contre, à nouveau, il y a un second mot de passe demandé, codé en dur, pour supprimer les membres de niveau administrateur et super-administrateur, en nommer un nouveau ou rétrograder un existant).
Modifié par Lothindil (27 Feb 2014 - 16:17)
ok merci
donc normalement dans mon cas pas de soucis de failles sql
le seul risque serait qu'on trouve mon mot de passe.
Sujet clos
Aller à