Sécurité autour d'un site php

[chtorrel]

Bonjour,

Je suis chargé de réaliser un site commercial.
Développeur php, je souhaite utiliser des applications php/mysql avec des communautés francophones actives pour les différentes fonctionnalités du site et j'aimerais avoir quelques avis afin de savoir si je fais fausse route, le site est presque bouclé il me reste à mettre en place la newsletter, finaliser le mode de paiement en ligne et une grosse relecture du code. Avant de mettre en ligne la partie paiement, je vais mettre en ligne le site quelques semaines afin de vérifier sa stabilité, le volume des échanges etc... pour choisir une nouvelle formule d'hébergement. Les commandes seront prises en ligne mais bouclées par téléphone.

Donc les logiciels utilisés sont:
-Thélia pour le magasin est lepaiement en ligne
-PhpMyFaq pour une foire aux questions, le site est destiné aux potiers/céramistes professionnels ou non
-wanewsletter et wamailer pour la gestion de la newsletter, à ce niveau j'ai testé l'envoie de mail via OOo mais je ne suis parvenu qu'à l'envoie de message au format texte, mon commanditaire préférerait des messages avec des images sans passer par du pdf et moi je voudrais utiliser OOo..

Voilà si vous avez exploité ces applications, j'aimerai votre avis sachant que c'est l'aspect sécuritaire qui m'intéresse le plus. Personnellement, je suis très satisfait de Thélia mais dans l'ensemble ce sont des logiciels que je n'ai pas exploité en entreprise.

Merci.

[pyg]

Bon, il n'y a pas vraiment de question dans ton message, alors je me permet une réponse de breton-lyonnais : tes applis sont sécurisées jusqu'à ce qu'on y découvre des failles

Bref, la sécurité, c'est pas un mur qu'on fait bien haut un jour, et puis qu'on ne surveille plus (mieux vaut un petit mur bien gardé )

En clair, abonne toi aux flux/ML de ces différentes applis, à celle du CERTA ( http://www.certa.ssi.gouv.fr/site/certa.rss ) et équivalent ; si tu développe du code personnalisé, assure toi qu'il puisse être réintégré dans une nouvelle version de tes applis (et documente !), etc. Et fais un checkup au moins hebdomadaire (négocie ça avec le chef de projet, en lui faisant comprendre que des données sensibles exploitées ou qu'un site défacé, c'est *beaucoup* d'argent/d'image de perdu par rapport à 1/2 journée par semaine). S'il refuse, alors pose les choses clairement : tu te limite à la mise en place, et eux à l'exploitation. En cas de pb, compte minimum 1 journée pour la remise en route d'un backup.
C'est évidemment de l'enfonçage de portes ouvertes, mais bon...

J'ai utilisé PhpMyFaq et WaNewsletter, sans trop de souci. A la limite le truc le plus chiant, ce sont les spammeurs qui reperent assez vite (par exemple sous PhpMyFaq) les forumulaires de soumission d'infos et te pourrissent ta boite.

[chtorrel]

Parfait, c'est une réponse de breton que j'attendais d'où ma question évasive me vlà rassuré..
J'ai choisi c'est logiciels de part leur utilisation et la détexion des éventuelles failles qui arriveront.

Merci bien.