Cette page vise à présenter des repères et bonnes pratiques pour que la sécurité soit aussi assurée dans les plugins que vous développez.
C’est une page naissante, à étoffer avec vos savoir faire et recommandations.
Outils SPIP pour la sécurité
- Commencer tout fichier PHP par
<?php
if (!defined("_ECRIRE_INC_VERSION")) return;
- Utiliser l’API sql_ et notamment sql_quote chaque fois qu’il y a besoin de passer une chaine dans un critère (’WHERE’).
- écran de sécurité
En général : bonnes pratiques de codage php
- intval sur les id et autres entiers
- chaines et SQL
- liens sur la sécurité, php et (my)sql
En général : un bon environnement d’exécution
Les bonnes pratiques varieront selon votre type d’hébergement. Sur un hébergement mutualisé, vous devrez vous contenter de certains paramétrages imposés, mais vous aurez accés à d’autres, tandis que sur un dédié, vous pourrez tout faire.
- Après la phase de développement, le site en production ne doit pas afficher d’informations inutilement en cas d’erreur.
- Pour le
.htaccess
d’un site en production (voir advanced-php-error-handling-via-htaccess) on doit mettre donc :# disable display of startup errors php_flag display_startup_errors off # disable display of all other errors php_flag display_errors off
- Pour la même raison, dans le
config/mes_options.php
<?php error_reporting(0); ini_set ("display_errors", "Off");