Carnet Wiki

Securiser un Plugin

Version 1 — October 2011 JLuc

Cette page vise à présenter des repères et bonnes pratiques pour que la sécurité soit aussi assurée dans les plugins que vous développez.

C’est une page naissante, à étoffer avec vos savoir faire et recommandations.

Outils SPIP pour la sécurité

-  Commencer tout fichier PHP par

<?php 
if (!defined("_ECRIRE_INC_VERSION")) return;

-  Utiliser l’API sql_ et notamment sql_quote chaque fois qu’il y a besoin de passer une chaine dans un critère (’WHERE’).

-  écran de sécurité

En général : bonnes pratiques de codage php

-  intval sur les id et autres entiers

-  chaines et SQL

-  liens sur la sécurité, php et (my)sql

En général : un bon environnement d’exécution

Les bonnes pratiques varieront selon votre type d’hébergement. Sur un hébergement mutualisé, vous devrez vous contenter de certains paramétrages imposés, mais vous aurez accés à d’autres, tandis que sur un dédié, vous pourrez tout faire.

  1. Après la phase de développement, le site en production ne doit pas afficher d’informations inutilement en cas d’erreur.
  • Pour le .htaccess d’un site en production (voir advanced-php-error-handling-via-htaccess) on doit mettre donc :
    # disable display of startup errors
    php_flag display_startup_errors off
    
    # disable display of all other errors
    php_flag display_errors off
  • Pour la même raison, dans le config/mes_options.php
    <?php error_reporting(0);
    ini_set ("display_errors", "Off");

Retour à la version courante

Toutes les versions

  • 1 - JLuc, October 2011