ludo Posted September 14, 2008 Share Posted September 14, 2008 Je sais que la securité est un point essentiel dans l'e commerce et que pour Prestashop nous avons même un monsieur sécurité (désolé j'ai pas retenu le prénom).Nous sommes depuis plusieurs semaines en version stable et je pense qu'un topo sur la question ne serait pas du luxe. Je sais que le sujet est délicat et évidement il est pas question ici de révéler des failles mais bien de nous rassurer sur le sujet (et du coup nous pourrions rassurer nos clients).Donc... Quid de la sécurité de la PS 1.0.0.8 sur les 3 principales failles qui touchent les applications Web : les injections SQL, le cross site scripting (XSS) et le cross site request forgery (CSRF). Link to comment Share on other sites More sharing options...
Rémi Gaillard Posted September 16, 2008 Share Posted September 16, 2008 PrestaShop est bien évidemment protégé contre ces 3 types d'attaques Pour les injectections SQL, les requetes sont parsés et préparés correctement, une blacklist existe même sur certains mots comme UNION, le type de chaque variable est vérifié de partout. Les CSRF sont évités grace au système de token qui est même activable sur le Front-Office(activable via le BO).Pour les XSS, les variables sont parsées et modifiées via des htmlentities entre autres.PrestaShop n'a vraiment pas de soucis à ce faire niveau sécurité Link to comment Share on other sites More sharing options...
ludo Posted September 16, 2008 Author Share Posted September 16, 2008 Voila maintenant on peut être rassuré !Merci Rémi... monsieur secu c'est toi au fait ? Link to comment Share on other sites More sharing options...
Rockntrek Posted November 2, 2008 Share Posted November 2, 2008 Bonjour,j'aurais une question du même ordre...Certes, je ne connais pas grand chose en Php/MySql (en aparté je dois dire que j'en ai beaucoup appris en bidouillant cette solution), mais pourquoi n'y a-t-il pas de fichier htaccess dans le dossier "config/" qui contient tout de même le mot de passe d'accès à la base de données... ?D'avance merci. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now