Bonjour,
 
Tout d'abord, désolé si un sujet semblable a déjà été créer, mais je n'ai pas trouver ce que je voulais.
 
Je voudrais creer un site avec gestions membres, et avec numero de carte bancaire etc etc...
Et donc pour cela il faut securiser le site.
 
Je n'ai trouver aucun 'tuto' ou explication  sur internet pour creer un site totalement securisé,
Je voulais donc savoir comment sécuriser un site le plus possible, avec quels languages, etc etc... ( htacces n'est pas assez sécurisé, et ca ne servirais a rien dans ce contexte, et les sessions php, ok mais je me demande si c'est suffisant.. ) Je voulais savoir aussi a quoi faire attention lors de la création de ce site ( j'ai vu des sujets a propos des injections et des includes, etc... mais je ne trouve pas cela suffisant comme information..)
 
Merci.

Salut,
 
En fait, ce n'est pas le langage qui va déterminer si ton site est sécurisé ou non.
Et il n'existe pas une solution miracle à appliquer non plus.
Ce n'est pas le langage lui-même qui possède des failles, mais bien le code que toi tu vas créer avec.
Il suffit de faire attention pour chaque script que tu feras quant l'existence d'éventuelles failles.
C'est donc dans le code lui-même que tu devras tester les entrées de tes fonctions, pour éviter que leur fonctionnement soit corrompu par un utilisateur un peu finaud
 
Par exemple, si tu retiens des codes de carte bancaires (edit : interdit d'ailleurs), il faut t'assurer, à chaque requête vers ta base de données, que l'utilisateur qui a fait la requête est bien autorisé à accéder à ces informations.
 
Exemple :  
 
Si ([logué]) Alors
Afficher(code de carte);
 
Il faut ici que tes opérations de connexion soient inviolables, sinon un utilisateur quelconque pourra s'identifier comme étant membre en exploitant la faille que tu lui a gentiment laissé  

lol, pour stocker des numeros de carte, il ne suffit pas de securiser ton site mais il faut egalement faire une declaration a la CNIL, tu n'as pas le droit de faire des fichiers avec tout et n'importe quoi...

et surtout pas stocker des cartes bancaires. Je ne fais pas confiance aux sites qui stockent mon numéro de carte bancaire. je ne fais confiance que à paypal

 
Warf, la fnac, amazon & cie, ils vont pas te la bouffer  

.... ou les gros sites fiable, pas les sites codés par un péquin du dimanche.  
Et encore les failles sont si vites arrivées (ex sur nierle, on pouvait avoir accès à toutes les infos d'un compte et meme les informations bancaires)

Cf multiples hacks de Twitter  

Merci des réponses.
Ne vous inquietez pas, aucun numéro de CB est stocké, j'ai dis ca pour vraiment avoir des réponses pour une bonne sécu, mais les informations stockés seront nom prenom adresse et siret et autre ( je sais plus ).
 
Donc une bonne gestion des sessions et ne rien laisser paraitre dans une url suffirait à sécuriser un site ?

Bien sur que non, il faut egalement verifier que tu ne peux pas utiliser de methodes de hack classiques. Par ex, l'injection de code sql doit etre impossible. Tu ne dois construire aucune requete style :
$sql = "select truc where $condition" sans verifier que l'utilisateur ne peut pas rentrer de code dans $condition (en saisissant toto' or 1=1 or ''=' dans son nom ou son adresse par ex).
Ce n'est qu'un exemple, faire un site totalement securise est tres loin d'etre trivial.

Il ne faut pas seulement cacher le fonctionnement de ton site, mais aussi empêcher un fonctionnement non voulu.
Si tu veux une métaphore :
 
Tu veux stocker de l'argent liquide, que fais-tu :
Tu le cache sous un matelas dans un coin inconnu de tous ?
ou
Tu l'enferme dans une pièce blindé à la vue de tout le monde ?
 
Le mieux, c'est la pièce blindé dans un coin inconnu de tous    
 
 
Cacher ET Protéger  

Ok.... Je crois que je vais avoir du boulot, et plusieurs semaines de prise de tête a tout vérifier ^^ Merci pour les infos