PHP Firewall

le 18/02/2010 à 21:43
PHP Firewall
PHP Firewall est une API qui va vous aider à contrôler un certain nombre de points de sécurité connus, touchant entre autres la détection des PROXYs mais aussi :
- Des sécurités touchant les attaques XSS, les injections SQL, les attaques DOS
- Le repérage des robots
- Les inclusions de fichiers
- Des URL de sites
- Le nettoyage des cookie's, des variables POST et GET
- etc

- PHP Firewall

A lire également

Tout le monde connaît les firewall, qui surveillent le contenu du trafic réseau, et imposent des limites à ce qui est possible de faire. Le même concept a été porté en PHP et MySQL.

Le firewall doit surveiller un contenu qui ne lui est pas destiné : il hésite constamment entre appliquer des filtres de sécurité draconienne, au détriment du contenu applicatif, et une politique plus souple, au détriment de la sécurité. PHP-IDS et GreenSQL font la même chose.

PHP-IDS ne modifie pas le contenu, mais émet un score sur la probabilité qu'une donnée entrante soit potentiellement dangereuse (XSS, injection SQL, injection PHP, etc). De même, Green SQLse place entre le serveur Web et MySQL, puis surveille les requêtes entrantes pour ne pas laisser passer les commandes administratives importantes (drop table), ou naïves (comparaisons de constantes).

- GreenSQL
- PHP-IDS site
Inspekt sert de 'firewall' entre les données des visiteurs et le reste de l'application. Elle prend les tableaux superglobaux de PHP, encapsule les données dans une 'cage', et supprime la variable d'origine. Les données sont alors accessibles via une collection d'accesseurs qui appliquent un filtre, ou bien validés avant d'être utilisés. Les données brutes sont toujours accessibles, mais doivent être lues via 'getRaw()', forçant le développeur à réfléchir à ce qu'il fait.

Supprimer les variables globales aura l'effet immédiat de vous dérouter et de vous forcer à vous poser la question : comment est-ce que je veux mes données servies. En ce sens, cela fait une sécurité incontournable. Et ultérieurement, les utilisations de GetRaw() seront faciles à repérer dans le code.

Le concept initial est intéressant. Il est dommage que le inspeckt ne comporte aucun test unitaire, alors que cette bibliothèque serait bien encadrée par de nombreux cas.

- inspeckt

Commentaires

Ecrire

Ecrire un message

Votre message vient d'être créé avec succès.
LoadingChargement en cours