Version 1 — Octobre 2011 — JLuc
Cette page vise à présenter des repères et bonnes pratiques pour que la sécurité soit aussi assurée dans les plugins que vous développez.
C’est une page naissante, à étoffer avec vos savoir faire et recommandations.
- Commencer tout fichier PHP par
<?php
if (!defined("_ECRIRE_INC_VERSION")) return;
- Utiliser l’API sql_ et notamment sql_quote chaque fois qu’il y a besoin de passer une chaine dans un critère (’WHERE’).
- écran de sécurité
- intval sur les id et autres entiers
- chaines et SQL
- liens sur la sécurité, php et (my)sql
Les bonnes pratiques varieront selon votre type d’hébergement. Sur un hébergement mutualisé, vous devrez vous contenter de certains paramétrages imposés, mais vous aurez accés à d’autres, tandis que sur un dédié, vous pourrez tout faire.
.htaccess
d’un site en production (voir advanced-php-error-handling-via-htaccess) on doit mettre donc :
# disable display of startup errors
php_flag display_startup_errors off
# disable display of all other errors
php_flag display_errors off
config/mes_options.php
<?php error_reporting(0);
ini_set ("display_errors", "Off");