3 replies to this topic

[ludo]

Je sais que la securité est un point essentiel dans l'e commerce et que pour Prestashop nous avons même un monsieur sécurité (désolé j'ai pas retenu le prénom).
Nous sommes depuis plusieurs semaines en version stable et je pense qu'un topo sur la question ne serait pas du luxe. Je sais que le sujet est délicat et évidement il est pas question ici de révéler des failles mais bien de nous rassurer sur le sujet (et du coup nous pourrions rassurer nos clients).

Donc... Quid de la sécurité de la PS 1.0.0.8 sur les 3 principales failles qui touchent les applications Web : les injections SQL, le cross site scripting (XSS) et le cross site request forgery (CSRF).

[Rémi Gaillard]

PrestaShop est bien évidemment protégé contre ces 3 types d'attaques :)
Pour les injectections SQL, les requetes sont parsés et préparés correctement, une blacklist existe même sur certains mots comme UNION, le type de chaque variable est vérifié de partout.
Les CSRF sont évités grace au système de token qui est même activable sur le Front-Office(activable via le BO).
Pour les XSS, les variables sont parsées et modifiées via des htmlentities entre autres.

PrestaShop n'a vraiment pas de soucis à ce faire niveau sécurité :)

[ludo]

Voila maintenant on peut être rassuré !
Merci Rémi...

monsieur secu c'est toi au fait ?

[Rockntrek]

Bonjour,
j'aurais une question du même ordre...

Certes, je ne connais pas grand chose en Php/MySql (en aparté je dois dire que j'en ai beaucoup appris en bidouillant cette solution), mais pourquoi n'y a-t-il pas de fichier htaccess dans le dossier "config/" qui contient tout de même le mot de passe d'accès à la base de données... ?

D'avance merci.