Cherche cours de hacking / sécurité sites internet

[milkiway]

Hello,
je code un CMS et j'ai besoin de le sécuriser un maximum (protectino de la partie admin), je cherhce donc un site donnant des cours de hacking de manière intelligent càd qui explique les méthodes et comment les éviter.
Mon CMS n'a pas de base de données donc c'ets vraiment très important (et urgent).
Merci de votre aide

PS : le fait d'avoir des fichiers en chmod 777 représente une faille ?

Thx

[Oncle Tom]

Pourquoi ce choix "non base de données" ?

[milkiway]

Pour des raisons de facilité pour l'utilisateur, pour des raisons de couts (un hébergeur rapide en MySQL n'existe pas en gratuit, ou presque pas), par ce qu'il y a une réelle demande

[deweerdt]

Arf ça m'interresse ça, c'est comment alors si c'est sans base de donnée? XML?

[wap]

Arf ça m'interresse ça, c'est comment alors si c'est sans base de donnée? XML?

Des fichiers texte, tout simplement.

[mahefarivony]

sans vouloir pinailler, un ensemble de fichiers peut constituer... une base de données (et ouais, y a pas que mysql dans la vie)

[troops]

Tout dépend comment il sont structuré Mais avec PHP il y a des libs pour d'autre format de base de données utilisant des fichiers

[deweerdt]

J'étais au courant que ça existait, juste comme ça, mais j'avais jamais aprofondis, ça m'a donné l'idée, je vais utiliser ça pour un de mes prochains sites histoire d'étendre un peu ma "culture informatique"

[Madrileño]

Si quelqu'un a un site sur les sécurité de php mysql je prend parce que j'attend de me mettre a ce langage du fais de la sécurité à mettre derrière Beaucoup m'ont dit que le php sa se piratais étant donné que l'on peu écrire sur le server depuis la page web machin truc
Alors si quelqu'un a des infos sur ses thèmes je prend

[milkiway]

donc personne n'a d'infos ?

avec PHP il y a des libs pour d'autre format de base de données utilisant des fichiers

ah bon ? et ça tourne partout ?

pour le CMS en dev c'est ici http://fohoizey2.free.fr/itseasy/

[mahefarivony]

a mon humble avis, a moins d'aller trainer sur des sites pas tres recommendables (google est ton .. ami ? ), tu trouveras pas des sites dit "officiel" sur la question.

imagine un site t'expliquant le ba-ba du comment faire pour hacker, cracker etc des sites internet. Ca craint un peu.

[Remi L.]

En tout cas, bravo pour ton projet de développer un CMS qui n'utilise pas mySql.

Pour la sécurité, je ne sais pas trop à quel niveau tu en es de tes recherches, mais quand on programme en 'register_global =off' et que l'on considère que les 'include $variable' sont à manier avec autant de précautions que du TNT, on a fait un grand bout de chemin.

Voilà par exemple des liens pour débroussailler:
http://thierrylhomme.developpez.com/php/php_secure/
http://www.php.net/manual/fr/security.index.php
http://www.securiteam.com/securityreviews/
mais tu connais peut-être déjà ce genre de choses, et c'est vrai que les plus gros soucis peuvent être dans la partie admin, bien borner le champ d'action.

[milkiway]

Merci Remi je vais me mettre à la lecture
Aucun problème jamais la moindre inclusion avec une variable ce serait de la folie.

Et un lien expliquant clairement tous les chmod possible ça existe ?

[niceunef]

Pour les chmod, c'est pas dur, en fait la commande ce sont 3 chiffres en base 8 (il peut y avoir des problemes de confusion avec la base 10 donc on les voit parfois précédés -pour clarifier- de 0: 0777): le premier pour l'utilisateur, le second pour le groupe (p.ex. autres utilisateurs connectés du meme serveur -peu utile sur le web j'ai l'impression-) et le 3e "tout le monde" (les internautes).
Les 3 chiffres en octal sont en fait sur 3 bits binaires: 4 pour autorisation en lecture (0 sinon)+ 2 pour l'écriture (""), 1 pour l'exécution ("")
Exemples: 644 = lecture et écriture pour toi, lecture seule pour les autres
777= tout le monde peut tout faire
On voit aussi parfois (ex. un "ls -l" sous linux, ou dans les FTP) les autorisations notées en lettres:
-rw-r--r-- equivaut a 644: le premier tiret pour "fichier simple", sinon c'est "d" pour un répertoire -ou "l" pour un lien symbolique, a ne pas confondre avec un lien web-, les autres tirets pour des autorisations non accordées

[milkiway]

merci, par ce que je l'ai tojours fait avec l'outil graphique
il y a une commande pour connaitre le chmod d'un fichier ou dossier sur linux ?