Accueil / Formation / programmation serveur
| Fiche technique Formation Formation Sécurité PHP 8 / MySql 9 | |
|---|---|
| apprendre à coder de façon plus sécurisée en PHP 8 / MySql 9 | |
| Lieu programmé | Classe virtuelle (téléprésentiel en direct) |
| dates | du 28-07-2026 au 31-07-2026 (durée 4 jours) |
| Tarif | 1966 € HT / personne (1966 € TTC) |
| sous réserve d'un nombre suffisant d'inscriptions | |
| Formateur | Xavier Braive |
Par sa nature dynamique, une application web est exposée en permanence aux menaces extérieures. Pour un développeur, anticiper et comprendre les techniques d’attaque est devenu une compétence critique. Cette formation propose plus de temps (4 jours) pour une vraie mise en pratique et adopte délibérément le point de vue du développeur : à travers une approche très orientée pratique incluant des sessions de hacking éthique, vous apprendrez à identifier les vulnérabilités de votre code pour mieux le verrouiller. Version mise à jour janvier 2026


4 jours
développeurs PHP ayant déjà une bonne pratique du langage, désirant développer des applications plus sécurisées.
Bonnes connaissances des langages PHP 8 OO, Javascript et SQL.
😊👉 j'évalue mon niveau php/sql ici (QCM)
les participants réaliseront des sessions pratiques de hacking éthique pour comprendre les failles et appliquer les contre-mesures directement sur du code PHP
Analyse de menace réelle (Threat Intelligence) : Qualification et scoring d'une faille critique (ex: CVE-2024-4577) via les bases NVD et CERT-FR. Évaluation de l'impact (CVSS, CWE), catégorisation de la sévérité (CAT I, II, III) et définition des mesures prioritaires face aux exigences NIS 2.
"Le Piège du Moteur de Recherche" : Exploitation d'une faille XSS réfléchie (via le formulaire de recherche) puis persistante (via le stockage d'un script viral dans MySQL). Simulation d'une dégradation visuelle du site (Defacement). Remédiation immédiate en PHP par l'application systématique de l'échappement contextuel.
"Le Casse du PHPSESSID" : Interception d'un identifiant de session via JavaScript et usurpation d'identité par injection de cookie sur un navigateur tiers. Remédiation et durcissement en PHP par la configuration globale des directives de session, l'activation du mode strict et la régénération d'identifiant pour les privilèges critiques.
"L'Avatar de Troie" : Contournement des restrictions HTML/JavaScript côté client via la console de développement. Téléversement d'un script malveillant (Web Shell) masqué dans un fichier image. Analyse de la face cachée des images (extraction de métadonnées EXIF et charges utiles). Sécurisation complète du traitement en PHP.
"L'Infiltration par le php.ini" : Audit critique des directives permissives d'un environnement par défaut. Exploitation de vulnérabilités d'inclusion distante (RFI) et d'appels système. Remédiation par le durcissement du fichier php.ini. Restructuration physique de l'architecture du projet pour isoler le code métier (dossier /public hermétique).
"La Grande Evasion" : Exploitation d'une injection SQL par concaténation pour contourner une mire de login et exfiltrer des données via une structure UNION SELECT. Sécurisation des fichiers de configuration contenant les identifiants d'accès. Remédiation complète en PHP par la migration vers des requêtes préparées et paramétrées avec PDO. Durcissement des privilèges côté MySQL en appliquant le principe du moindre privilège.
"Le Relais de Spam" : Détournement d'un formulaire de contact par injection de caractères de contrôle dans les en-têtes de la fonction mail(). Simulation d'une attaque réseau furtive (SSRF) en manipulant une extension de récupération de flux externe pour scanner le réseau privé local. Remédiation en PHP et mise en place d'une politique stricte de filtrage des URL sortantes (protocoles autorisés et validation d'IP non-privées).
Grand Audit Final "Fin de Chantier" : Détection automatisée de failles de dépendances via la commande 'composer audit'. Implémentation d'un mécanisme de Turing inversé par "Pot de Miel" (champ invisible) pour bloquer les robots de force brute. Migration cryptographique des bases de données vers un hachage de sécurité moderne en PHP (Argon2id/Bcrypt). Configuration d'une politique de quota et de gestion des charges (Rate Limiting) sur les composants phares de Symfony ou Laravel pour contrer les dénis de service et les attaques dictionnaire.
| Caractéristiques | FOAD / E-learning Classique | Formation PHP Cybersécurité Sagexa |
|---|---|---|
| Mode d'apprentissage | Vidéos pré-enregistrées en autonomie | Direct (Live) avec un formateur expert |
| Interaction et Questions | Forum ou email (réponse sous 24h/48h) | Réponses immédiates par micro ou chat |
| Accompagnement TP | Correction automatique ou corrigés types | Assistance à distance et aide au débogage en direct |
| Rythme de travail | Souvent délaissé par manque de motivation | Calendrier fixe pour une progression garantie |
| Mises à jour | Contenu parfois obsolète (anciennes versions) | Cours basé sur les dernières versions PHP Cybersécurité |
*Contrairement à une FOAD, notre format en téléprésentiel vous assure la même qualité qu'un cours en présentiel, sans les contraintes de déplacement.
© Sagexa.com