Titre: Sécurité PHP 5 et MySQL (27/02/2008 Par ovh)
Résumé de l'éditeur

images/articles/article3273/001.jpg Après avoir rappelé l'importance de principes fondamentaux tel celui de la défense en profondeur, cet ouvrage explique comment sécuriser une application professionnelle en PHP et MySQL à tous les niveaux, depuis la configuration du serveur jusqu'à la protection de la base de données MySQL, sans oublier toutes les vulnérabilités propres aux sites web dynamiques basés sur des langages de script.

De nouvelles vulnérabilités apparaissent chaque jour dans les applications en ligne et les navigateurs. Pour mettre en place une politique de sécurité à la fois efficace et souple, sans être envahissante, il est essentiel de maîtriser les nombreux aspects qui entrent en jeu dans la sécurité en ligne : la nature du réseau, les clients HTML, les serveurs web, les plates-formes de développement, les bases de données... Autant de composants susceptibles d'être la cible d'une attaque spécifique à tout moment.

Critique du livre

PHP et MySQL est le couple le plus en vogue du net depuis ces dernières années. Puisqu'il est très répandu et donc très visé par les pirates, il est vital aujourd'hui de connaître les bonnes pratiques de sécurité et la manière de contourner les quelques faiblesses d'origine de ces outils. Premier ouvrage en français consacré exclusivement à ce sujet à ma connaissance, ce livre remplit très bien son rôle et est à mettre entre toutes les mains des développeurs PHP.

La première partie est un tour d'horizon des différentes techniques de piratage des pages web (injections xss, csrf, etc.), suivie par les techniques élémentaires de validation de données, même celles auxquelles on ne pense pas forcément au premier abord (formulaires, fichiers téléchargés, cookies, sessions... ). Sont abordées ensuite respectivement les mesures de sécurité spécifiques pour PHP et MySQL, à la fois au niveau du codage et de la configuration de ces 2 logiciels. On y parlera de safe mode, d'exécution de code à la volée, d'injections SQL etc. les vulnérabilités classiquement rencontrées sont traitées. Les chapitres suivants apprennent au lecteur à sécuriser différents composants clés du serveur sur lequel tourne l'application web. Enfin les techniques de chiffrement et signature sont expliqués afin de masquer au maximum l'information même si le pirate a réussi à se procurer les données.

Les auteurs font un tour complet de tous les aspects de sécurisation d'un site PHP : le code PHP en lui-même bien sûr mais aussi MySQL, la configuration du serveur, etc. Le texte est d'un niveau très abordable, parfois un peu long. Dans l'ensemble cependant ce livre convient tout à fait aux développeurs désireux d'écrire des applications robustes. Il présente toutes les attaques classiques et leurs parades et la connaissance de ces techniques permet de protéger efficacement un site PHP.

Sommaire


* Risques liés aux applications web
o Introduction à la sécurité des applications web
o Vulnérabilités des pages web
o Formulaires et téléchargement ; valider les données
o Cookies et sessions
* Mesures de sécurité pour PHP
o Installation et configuration de PHP
o Intégrité des scripts PHP
o Risques liés aux bases de données
o Vulnérabilités des base de données
o Mesures de sécurité pour MySQL
* Mesures de sécurité pour les technologies connexes
o Mesures de sécurité côté serveur
o Techniques de sécurisation des applications web
o Mener un audit de sécurité
* Annexes
o A. Fonctions de sécurité et caractères spéciaux
o B. Sauvegardes
o C. Ressources web


250 pages, 05/07/2007 Editions Eyrolles, ISBN10 : 2212121148
Retour