attaques SQL et XSS Injections sont tous deux résolus en analysant toutes les informations qui devient à votre code (addslashes, supprimer « » balises et ainsi de suite); L'émulation de guillemets magiques et register_globals off résout les problèmes de mon point de vue. Soyez prudent, ne savez pas exactement quand, mais magic_quotes sera obsolète alors ne comptez pas là-dessus.
Alors, quelles sont les autres menaces? D'après mon expérience, les erreurs humaines les plus courantes sont liées à l'authentification. Cela ne signifie pas que l'utilisateur ne se connecte pas, mais cela signifie qu'un utilisateur peut lire/écrire des informations pour d'autres utilisateurs. Ainsi, chaque fois que vous voyez un lien de suppression comme ceci: index.php? Page = images & action = supprimer & id = 2, essayez avec un autre id, de l'image d'un autre utilisateur. Vous devriez obtenir une phrase d'erreur "pas votre image" ou quelque chose. C'est très très difficile à vérifier, vous devez donc compter sur l'expérience du développeur.
Le deuxième plus gros problème que j'avais n'était pas lié au code mais au serveur. Les mots de passe FTP ont été volés par des virus (virus IFrame et autres), ou le serveur a été piraté en utilisant diverses méthodes de force brute. La conclusion est la suivante: si vous êtes sûr que vous avez vérifié les injections SQL et les attaques XSS, la dernière chose à faire est de résoudre le problème d'authentification (une fois de plus, l'authentification est YOURS). Les gens ont tendance à être un peu paranoïaque sur les problèmes de sécurité, mais les hacks les plus courants ne sont pas la faute du développeur.
Espérons que cela aide;
Cordialement, Gabriel
Avez-vous essayé googler autour pendant un certain temps? Il y a des tonnes de blogs sur ce genre de choses. Vous pouvez également acheter une suite d'attaques semi-automatisée pour tester des sites Web. –