Sécurité PHP : Astuce 5

Ce billet est une traduction du billet "PHP Security Tip #5" que vous pouvez trouver sur la devZone du site de Zend. Je ne suis pas un spécialiste de la traduction, et j'ai appliqué un style peut-être trop personnel, merci de votre compréhension et bonne lecture !

La sécurité en PHP est une mission continue exigeant du programmeur un peu de recul (NDT : mais pas seulement en PHP). Ce n'est pas tout de se dire "Est-ce que ça fait ce que je veux ?", vous devez également penser à "Qu'est-ce que l'utilisateur peut utiliser d'autre, et est-ce que je veux l'autoriser ?". L'astuce d'aujourd'hui est un proverbe que tous les programmeurs devraient réciter quotidiennement.

Ne jamais faire confiance à l'utilisateur.

C'est une triste réalité, mais les utilisateurs sont le mal (NDT : "Ne pas prendre l'utilisateur pour un con, mais ne pas oublier qu'il l'est."). Les utilisateurs ne cherchent rien d'autre que les vulnérabilités de vos applications (NDT : involontairement ou pas). Dès que vous baissez votre garde et commencez à penser "Ce ne sont que de gentils moutons, comment pourraient-ils être méchant ?" vous avez perdu la bataille.

Ok, ce n'est peut-être pas exactement ça, mais vous devez garder un oeil sur certains de vos utilisateurs. C'est là que le deuxième proverbe arrive :

Filtrez les Entrées, Echappez les Sorties
(NDT : Pour le filtrage consultez l'astuce 6. Echapper une sortie permet de protéger le site d'attaque du type XSS, il s'agit d'utiliser une fonction qui remplace des apostophes ou des caractères susceptibles de causer des problèmes. La plus connues est probablement htmlspecialchars.)

Oui, FEES (NDT : Fesses c'est facile à retenir non ?) est l'une des incantations que tous les programmeurs doivent absolument connaître.