Jump to content

Quid de la sécurité de la PS 1.0.0.8 ?


ludo

Recommended Posts

Je sais que la securité est un point essentiel dans l'e commerce et que pour Prestashop nous avons même un monsieur sécurité (désolé j'ai pas retenu le prénom).
Nous sommes depuis plusieurs semaines en version stable et je pense qu'un topo sur la question ne serait pas du luxe. Je sais que le sujet est délicat et évidement il est pas question ici de révéler des failles mais bien de nous rassurer sur le sujet (et du coup nous pourrions rassurer nos clients).

Donc... Quid de la sécurité de la PS 1.0.0.8 sur les 3 principales failles qui touchent les applications Web : les injections SQL, le cross site scripting (XSS) et le cross site request forgery (CSRF).

Link to comment
Share on other sites

PrestaShop est bien évidemment protégé contre ces 3 types d'attaques :)
Pour les injectections SQL, les requetes sont parsés et préparés correctement, une blacklist existe même sur certains mots comme UNION, le type de chaque variable est vérifié de partout.
Les CSRF sont évités grace au système de token qui est même activable sur le Front-Office(activable via le BO).
Pour les XSS, les variables sont parsées et modifiées via des htmlentities entre autres.

PrestaShop n'a vraiment pas de soucis à ce faire niveau sécurité :)

Link to comment
Share on other sites

  • 1 month later...

Bonjour,
j'aurais une question du même ordre...

Certes, je ne connais pas grand chose en Php/MySql (en aparté je dois dire que j'en ai beaucoup appris en bidouillant cette solution), mais pourquoi n'y a-t-il pas de fichier htaccess dans le dossier "config/" qui contient tout de même le mot de passe d'accès à la base de données... ?

D'avance merci.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...