Cette page vise à présenter des repères et bonnes pratiques pour que la sécurité soit aussi assurée dans les plugins que vous développez.

C’est une page naissante, à étoffer avec vos savoir faire et recommandations.

Outils SPIP pour la sécurité

-  Commencer tout fichier PHP par

-  Utiliser l’API sql_ et notamment sql_quote chaque fois qu’il y a besoin de passer une chaine dans un critère (’WHERE’).

-  écran de sécurité

En général : bonnes pratiques de codage php

-  intval sur les id et autres entiers

-  chaines et SQL

-  liens sur la sécurité, php et (my)sql

En général : un bon environnement d’exécution

Les bonnes pratiques varieront selon votre type d’hébergement. Sur un hébergement mutualisé, vous devrez vous contenter de certains paramétrages imposés, mais vous aurez accés à d’autres, tandis que sur un dédié, vous pourrez tout faire.

1. Après la phase de développement, le site en production ne doit pas afficher d’informations inutilement en cas d’erreur.

• Pour le .htaccess d’un site en production (voir advanced-php-error-handling-via-htaccess) on doit mettre donc : # disable display of startup errors php_flag display_startup_errors off # disable display of all other errors php_flag display_errors off

• Pour la même raison, dans le config/mes_options.php <?php error_reporting(0); ini_set ("display_errors", "Off");