CMBP formation et développement PHP / MySql / PostgreSQL Xavier Braive et François Plégades, des interventions à visage humain. The PHrench Touch
Accueil Développement Formation Directe Programmes de Formation Réalisations Presse Deviseur FAQ Contact

.: Formation PHP :.

SECURITE DES DEVELOPPEMENTS PHP / MySQL

De par sa nature même, le service dynamique de pages Web ouvre de nombreuses portes sur le monde extérieur. Pour le développeur, il est primordial de prendre conscience des types d'attaques auxquelles son code sera potentiellement exposé. Ce cours se concentre sur le point de vue du développeur, par une approche pratique basée sur des sessions de hacking éthique.

Participants

Cette formation s'adresse aux développeurs PHP ayant déjà une bonne pratique du langage, désirant développer des applications plus sécurisées.

Pré-requis

Bonnes connaissances des langages PHP et SQL. Connaissances de base de JavaScript.

DUREE

3 jours

Programme

Introduction

Les risques

- Destruction de données.

- Détournement de site.

- Publication de données confidentielles.

- Abus de ressources.

- Vol d'identité.

Plan Sécurité

- Conception, Développement et Maintenance.

Les pages Web

XSS

- Principe et méthodes de protection.

- Moteur de recherche.

CSRF

- Principe et contre-mesures.

- Virus en base de données

Formulaires : la grande porte

Les failles

- Validation et limitations de l'approche JavaScript.

- Chaînage, attaques HTTP et Ajax.

- Contre-mesures.

Validation des entrées

- Tests et principe des listes.

- Expressions régulières, standards et filtres.

Upload

- Failles et contre-mesures.

- Pornographie & nudité.

- Images : la face cachée.

Cookies et sessions

Cookies

- Principes et risques.

- Manipulation JavaScript.

- Tableaux de cookies.

Sessions

- Mode Cookie vs. Header.

- Principe du vol de session.

Sécuriser PHP : les bons réglages

PHP.ini

- Directives sensibles, sessions et erreurs.

Protéger les scripts

- Protection physique.

- Exécution de scripts distants ou à la volée.

Bases de données

Failles potentielles

- Risques : données et administration.

- Stockage.

Injections SQL

- Principe et contre-mesure.

- Procédures stockées et requêtes paramétrées.

- Limites.

Fichiers d'accès

- Organisation et valeurs par défaut.

- Accès anonymes et protocoles.

Sécuriser l'emploi des extensions

Email

- Spam via un formulaire de contact : injections et contre-mesures.

Accès réseau par PHP

- Appels séquentiels et récursifs.

- Attaque furtive.

Considérations générales

BFA

- Principe : dictionnaire.

- Identification et contre-mesures.

Phishing

- Principe et formation des utilisateurs.

DoS

- Quotas et gestion des charges.

Mots de passe

- Renforcement et stockage.

- Création et rappel.

Chiffrement et signature

- Cryptage / décryptage : implémentation PHP et MySQL.

Ruses de Sioux

- Pot de Miel, Obfuscation et Turing inversé.

Frameworks et briques logicielles

- Gestion de la sécurité dans les développements composites.

Audit de sécurité

- Méthodologie de base, Cross-test et rapport d'audit.

Nous avons déjà formé plus de 1875 stagiaires à :

  • Aix-en-Provence
  • Angers
  • Antibes
  • Arcueil
  • Bordeaux
  • Bruxelles
  • Caen
  • Chartres
  • Cholet
  • Colombes
  • Dieppe
  • Dijon
  • Fort-de-France (Martinique)
  • Genève (Suisse)
  • Gisors
  • Grenoble
  • Hammamet (Tunisie)
  • La Bresse
  • La Défense
  • La Rochelle
  • Le Havre
  • Le Mans
  • Lille
  • Liège (Belgique)
  • Lorient
  • Lyon
  • Massy
  • Metz
  • Montpellier
  • Mulhouse
  • México, D.F. (México)
  • Nagoya (Japon)
  • Nancy
  • Nantes
  • Nezignan l'Evêque
  • Orléans
  • Ouagadougou (Burkina Faso)
  • Paris
  • Poitiers
  • Puerto Peñasco (Sonora, México)
  • Rennes
  • Romans
  • Rouen
  • Sophia Antipolis
  • St Etienne
  • St-Jean-Pied-de-Port
  • Strasbourg
  • Torcy
  • Toulon
  • Toulouse
  • Tucson (Arizona)
  • Why (Arizona)

Geo Visitors Map
Prochaines formations:

PHP5 + MySql
lieu: Paris 17ème
date: 17-21/05/2010 [x1]
programme PHP/MySql

PHP Avancé
lieu: Eon ITC
date: 27-29/05/2010
programme PHP Objet & Extensions

  • Oracle,SQL Server,ODBC
  • Prog. Objet Avancée
  • LDAP
  • Mails multiparts
  • POP3
  • PDF
  • XML / XSLT / xPath
  • Sockets
  • Web services / SOAP

PHP : Sécurité
lieu: Eon ITC
date: 04-06/06/2010
programme PHP Sécurité

  • Risques
  • XSS
  • CSRF
  • Formulaires:Les failles
  • regex et filtres
  • Vol de session
  • Injections SQL
  • SPAM
  • BFA
  • Phishing
  • DoS
  • Quotas et gestion des charges
  • Turing inversé

PHP : Industrialisation
lieu: Eon ITC
date: 11-13/06/2010
programme Design Patterns & Frameworks

  • Frameworks
  • Optimisation
  • caches
  • prog .parallèle
  • Tests Unitaires (TDD)
  • Tests de charge
  • Design Patterns
  • IDEs

Info

La société CROSSFIRE JAPAN,INC. vient de pondre un nouveau langage, et l'environnement de développement qui va avec.
Alinous-Core permet de développer des pages web dynamiques, liées à des bases de données. Ce n'est pas un langage tel que PHP, Ruby ou Java, il "suffit" de connaître Html ET Sql pour intégrer sans peine.
Ce pseudo langage est très simplifié, mais a tout ce qu'il faut pour réaliser les opérations classiques liées au développement de sites web dynamiques :
  • Champs de saises divers
  • Frames virtuelles
  • Validation
  • Authentification
  • Sessions Http
  • Redirections
  • e-mail
  • RSS
  • Upload
Les bases de données supportées actuellement sont les suivantes:
  • Apache derby
  • PostgreSQL
  • MySQL

programmes de cours © 2001,2002,2003,2004,2005,2006,2007,2008, 2009 et 2010