Tél.: 05 32 92 09 16 Email: contact@sagexa.com

Formation OWASP : XSS, XSRF et BSI : Sécurité et PHP avec un expert
[100% en téléprésentiel - pas de FOAD ( * ) ]


Taux global de satisfaction des Stagiaires Formation OWASP : XSS, XSRF et BSI : Sécurité et PHP : 4.8 sur 5 pour 497 formations

Accueil / Formation / programmation serveur

sagexa in good shape
"Etudier tout en répétant, n'est-ce pas source de plaisir ?"
Confucius

Formation Sécurité PHP / MySql

Fiche technique Formation Formation Sécurité PHP / MySql
apprendre à coder de façon plus sécurisée en PHP / MySql
Lieu programmé Classe virtuelle (téléprésentiel en direct)
dates du 06-10-2026 au 09-10-2026 (durée 4 jours)
Tarif 1966 € HT / personne (1966 € TTC)
sous réserve d'un nombre suffisant d'inscriptions
Formateur
06-10-2026programmation serveur

Par sa nature dynamique, une application web est exposée en permanence aux menaces extérieures. Pour un développeur, anticiper et comprendre les techniques d’attaque est devenu une compétence critique. Cette formation propose plus de temps (4 jours) pour une vraie mise en pratique et adopte délibérément le point de vue du développeur : à travers une approche très orientée pratique incluant des sessions de hacking éthique, vous apprendrez à identifier les vulnérabilités de votre code pour mieux le verrouiller. Version mise à jour janvier 2026

  • ✅ Certifié Qualiopi (Financement OPCO/France Travail)
  • ⭐ Note : 4.8/5 (Basé sur 497 formations)
  • 👨‍🏫 Expert identifiable : +20 ans d'expérience
  • 🎙 Formation 100% en téléprésentiel (pas de FOAD classique)

Formation Sécurité PHP / MySql

Formation officiellement référencée sur :

Objectifs de la formation Formation Sécurité PHP / MySql

  • prendre conscience des types d'attaques auxquelles le code PHP est exposé
  • assimiler le point de vue du développeur par le hacking éthique
  • connaître et appliquer les contre-mesures face aux vulnérabilités majeures (XSS, CSRF, Injections SQL)
  • sécuriser la configuration de PHP et la persistance des données
  • auditer et valider la sécurité d'un développement composite ou d'un framework

Contenu de la formation Formation Sécurité PHP / MySql

  1. Introduction
  2. Les pages Web
  3. Cookies et sessions
  4. Formulaires : la grande porte
  5. Sécuriser PHP : les bons réglages
  6. Bases de données
  7. Sécuriser l'emploi des extensions
  8. Considérations générales
Formation Formation Sécurité PHP / MySql

Durée de la formation

4 jours

Participants à la formation Formation Sécurité PHP / MySql

développeurs PHP ayant déjà une bonne pratique du langage, désirant développer des applications plus sécurisées.

Niveau : avancé 🌶️🌶️🌶️

Pré-requis de la formation

Bonnes connaissances des langages PHP, Javascript et SQL.

😊👉 j'évalue mon niveau php/sql ici (QCM)

Comment bien se préparer à cette formation ? 👇

Que faire après cette formation ? 👇

Travaux pratiques de la formation

les participants réaliseront des sessions pratiques de hacking éthique pour comprendre les failles et appliquer les contre-mesures directement sur du code PHP

Programme de la formation Formation Sécurité PHP / MySql

Introduction

  • Les risques : OWASP top 10
  • Présentation de l'ANSSI
  • Recommandations et obligations : DISA, STIG, RGS, NIS2 et SecNumCloud
  • Destruction de données
  • Détournement de site
  • Publication de données confidentielles
  • Abus de ressources, DOS, DDOS
  • Vol d'identité
  • Les outils du FingerPrinting : obsucrité et obfucation
  • CERT, CERT-FR, CVE, CWE, NVD et métriques CVSS
  • Découvrir le PenTesting
  • Plan Sécurité : Conception, Développement et Maintenance
travaux pratiques

Analyse de menace réelle (Threat Intelligence) : Qualification et scoring d'une faille critique (ex: CVE-2024-4577) via les bases NVD et CERT-FR. Évaluation de l'impact (CVSS, CWE), catégorisation de la sévérité (CAT I, II, III) et définition des mesures prioritaires face aux exigences NIS 2.

< sommaire formation Formation Sécurité PHP / MySql

Les pages Web

  • IP - HTTP : blocage et contournement TOR, VPN et Parrot
  • XSS : Principe et méthodes de protection
  • Moteur de recherche, annuaires et détournements
  • CSRF : Principe et contre-mesures
  • Stockage viral en base de données
travaux pratiques

"Le Piège du Moteur de Recherche" : Exploitation d'une faille XSS réfléchie (via le formulaire de recherche) puis persistante (via le stockage d'un script viral dans MySQL). Simulation d'une dégradation visuelle du site (Defacement). Remédiation immédiate en PHP par l'application systématique de l'échappement contextuel.

< sommaire formation Formation Sécurité PHP / MySql

Cookies et sessions

  • Cookies : Principes et risques
  • Manipulation JavaScript
  • Tableaux de cookies
  • Sessions : Mode Cookie vs. Header
  • Nouveaux paramètres de Cookie
  • Principe du vol de session
travaux pratiques

"Le Casse du PHPSESSID" : Interception d'un identifiant de session via JavaScript et usurpation d'identité par injection de cookie sur un navigateur tiers. Remédiation et durcissement en PHP par la configuration globale des directives de session, l'activation du mode strict et la régénération d'identifiant pour les privilèges critiques.

< sommaire formation Formation Sécurité PHP / MySql

Formulaires : la grande porte

  • Les failles : Validation et limitations de l'approche JavaScript
  • Chaînage, attaques HTTP et Ajax
  • Anonymat : comprendre TOR et les VPN
  • Contre-mesures
  • Validation des entrées : Tests et principe des listes
  • Expressions régulières, standards et filtres
  • Upload : Failles et contre-mesures
  • Pornographie & nudité
  • Images : la face cachée
travaux pratiques

"L'Avatar de Troie" : Contournement des restrictions HTML/JavaScript côté client via la console de développement. Téléversement d'un script malveillant (Web Shell) masqué dans un fichier image. Analyse de la face cachée des images (extraction de métadonnées EXIF et charges utiles). Sécurisation complète du traitement en PHP.

< sommaire formation Formation Sécurité PHP / MySql

Sécuriser PHP : les bons réglages

  • PHP.ini : Directives sensibles, sessions et erreurs
  • Protéger les scripts : Protection physique
  • Exécution de scripts distants ou à la volée LFI / RFI
travaux pratiques

"L'Infiltration par le php.ini" : Audit critique des directives permissives d'un environnement par défaut. Exploitation de vulnérabilités d'inclusion distante (RFI) et d'appels système. Remédiation par le durcissement du fichier php.ini. Restructuration physique de l'architecture du projet pour isoler le code métier (dossier /public hermétique).

< sommaire formation Formation Sécurité PHP / MySql

Bases de données

  • Failles potentielles : Risques données et administration
  • Stockage, exfiltration texte.
  • Injections SQL et BSI : Principe et contre-mesure
  • Procédures stockées et requêtes paramétrées (MySQL et PDO)
  • Limites et riques des Requêtes Préparées
  • Fichiers d'accès : Organisation et valeurs par défaut
  • Accès anonymes et protocoles
travaux pratiques

"La Grande Evasion" : Exploitation d'une injection SQL par concaténation pour contourner une mire de login et exfiltrer des données via une structure UNION SELECT. Sécurisation des fichiers de configuration contenant les identifiants d'accès. Remédiation complète en PHP par la migration vers des requêtes préparées et paramétrées avec PDO. Durcissement des privilèges côté MySQL en appliquant le principe du moindre privilège.

< sommaire formation Formation Sécurité PHP / MySql

Sécuriser l'emploi des extensions

  • Email : Spam via un formulaire de contact : injections et contre-mesures
  • Accès réseau par PHP : Appels séquentiels et récursifs
  • Attaque furtive SSRF
travaux pratiques

"Le Relais de Spam" : Détournement d'un formulaire de contact par injection de caractères de contrôle dans les en-têtes de la fonction mail(). Simulation d'une attaque réseau furtive (SSRF) en manipulant une extension de récupération de flux externe pour scanner le réseau privé local. Remédiation en PHP et mise en place d'une politique stricte de filtrage des URL sortantes (protocoles autorisés et validation d'IP non-privées).

< sommaire formation Formation Sécurité PHP / MySql

Considérations générales

  • BFA : Principe dictionnaire, Identification et contre-mesures
  • Phishing : Principe et formation des utilisateurs
  • DoS : Quotas et gestion des charges
  • Mots de passe : Renforcement et stockage, Création et rappel
  • OAuth2 : SSO et sécurisation des Webservices
  • Chiffrement et signature : implémentation PHP et MySQL
  • HTTPS, SSL et Certificat
  • Ruses de Sioux : Pot de Miel, Obfuscation et Turing inversé
  • Découvrir le Fuzzing
  • Frameworks et briques logicielles : sécurité dans les développements composites
  • Gestion de la sécurité dans Symfony
  • Gestion de la sécurité dans Laravel
  • Gestion de la sécurité dans Wordpress
  • Problèmes de Sécurité Composer / Packagist
  • Audit de sécurité : Méthodologie de base, OWASP, Cross-test et rapport d'audit
travaux pratiques

Grand Audit Final "Fin de Chantier" : Détection automatisée de failles de dépendances via la commande 'composer audit'. Implémentation d'un mécanisme de Turing inversé par "Pot de Miel" (champ invisible) pour bloquer les robots de force brute. Migration cryptographique des bases de données vers un hachage de sécurité moderne en PHP (Argon2id/Bcrypt). Configuration d'une politique de quota et de gestion des charges (Rate Limiting) sur les composants phares de Symfony ou Laravel pour contrer les dénis de service et les attaques dictionnaire.

< sommaire formation Formation Sécurité PHP / MySql

FAQ Formation PHP Sécurité : risques et bonnes pratiques

La formation en sécurité PHP de Sagexa se déroule-t-elle avec un vrai formateur ?

Oui, contrairement aux plateformes de vidéo préenregistrées, nos formations en sécurité se déroulent en direct et en visioconférence avec Xavier Braive, formateur expert avec 25 ans d'expérience. Vous pouvez poser vos questions en temps réel, analyser vos propres cas de figure et bénéficier d'un accompagnement personnalisé.

Pourquoi la formation en sécurité PHP est-elle sur 4 jours ? (vs 3 ou 2 chez les autres)

De nombreux retours d'expérience montrent le besoin de plus de pratique. La plupart des formations proposées par d'autres OF sont limitées à 3 voire 2 jours, ce qui nous semble insuffisant dans le contexte actuel de cybermenace. Une bonne formation doit prévoir assez de temps pour pratiquer : Hands-On Experience sans exploser les tarifs :-)

La formation en sécurité PHP est-elle éligible aux financements (OPCO, CPF) ?

Sagexa est un organisme de formation certifié Qualiopi. À ce titre, nos cursus en cybersécurité et sécurité des systèmes peuvent être pris en charge par les OPCO ou d'autres dispositifs de financement selon votre statut (salarié, indépendant, demandeur d'emploi). Contactez-nous pour monter votre dossier.

Quel est l'avantage d'apprendre la sécurité PHP avec un expert senior ?

La sécurité informatique ne s'apprend pas seulement dans les livres. Suivre ce cours avec un expert comme Xavier Braive permet d'aller au-delà de la théorie : vous aborderez des cas réels de vulnérabilités, la mise en place de politiques de sécurité concrètes, l'audit de code, et les bonnes pratiques d'architecture pour contrer les menaces actuelles.

Proposez-vous un suivi après la formation en sécurité ?

Oui, Sagexa propose un SAV technique unique d'un an après la formation. Si vous rencontrez une difficulté ou si vous avez un doute lors de la mise en œuvre de vos protocoles de sécurité ou du chiffrement de vos données après votre apprentissage, votre formateur reste disponible pour vous guider et vous débloquer.

Pourquoi choisir notre formation PHP Cybersécurité en téléprésentiel plutôt qu'une FOAD classique ?

Caractéristiques FOAD / E-learning Classique Formation PHP Cybersécurité Sagexa
Mode d'apprentissage Vidéos pré-enregistrées en autonomie Direct (Live) avec un formateur expert
Interaction et Questions Forum ou email (réponse sous 24h/48h) Réponses immédiates par micro ou chat
Accompagnement TP Correction automatique ou corrigés types Assistance à distance et aide au débogage en direct
Rythme de travail Souvent délaissé par manque de motivation Calendrier fixe pour une progression garantie
Mises à jour Contenu parfois obsolète (anciennes versions) Cours basé sur les dernières versions PHP Cybersécurité

*Contrairement à une FOAD, notre format en téléprésentiel vous assure la même qualité qu'un cours en présentiel, sans les contraintes de déplacement.

SAGEXA

La bienveillance numérique à vos côtés,

en Nouvelle-Aquitaine et partout ailleurs.

information actualisée le 17/06/2026

Nous contacter

Adresse: St Georges des Agoûts

Téléphone: Tél.: 05 32 92 09 16

Fax: 00 71 50 20 17

Email: contact@sagexa.com

Clients & Témoignages
avatar
"Le stage s'est très bien déroulé, dans une bonne ambiance, et bien mené par le formateur."
E.P., DRASS Caen
avatar
"Excellente formation sur la découverte de PHP/MySql"
R.A., Cetelem
avatar
"Bon prof, bonne formation"
C.P., Crédit Agricole
avatar
"Formation très efficace"
M.D., Dassault Systèmes
avatar
"Très condensé avec des exercices pertinents"
I.B., Orange
avatar
"Une très bonne approche pour évaluer la potentialité de PHP."
S.C., La Documentation Française
avatar
"Bonnes bases pour retravailler seul et approfondir."
Y.C., DRASS Caen
avatar
"Formation très complète, et de nombreux exercices à difficultés dosées ce qui permet de bien assimiler."
H.S., DRASS Caen
avatar
"Très bien !"
B.A., ALCATEL
avatar
"Un peu court pour tout voir, mais la doc permet de compléter."
C.C., Philips
avatar
"Très bien. Correspond exactement à ce que je suis venu chercher."
B.R., Etat-Major des Armées
avatar
"Il y a beaucoup de manipulations. Bon cours."
L.H., Etat-Major des Armées
avatar
"Rythme intense. Méthode efficace."
F.C., France Télécom
avatar
"Formateur très disponible à toutes les questions et difficultés rencontrées au cours des exercices."
C.J-P., Préfecture de Police
avatar
"Très dense et très riche, mais trop court !"
C.P., Ministère de l'Intérieur
avatar
"Cours très complet qui permet de voir énormément de points.Les exercices sont pertinents et permettent de voir des cas concrets.Beaucoup d’infos à absorber en 4 jours qui nécessitent de beaucoup pratiquer pour bien assimiler.La doc fournie est complète et sera très utile."
L.S., Camaieu
avatar
"Contenu approprié à mes besoins"
V.M., Normand Info
avatar
"Le contenu de la formation est à la hauteur de mes attentes, très bon sur la pédagogie."
D.M., IHEDN
avatar
"Très bonne formation, assez approfondie pour de la "prise en main"."
P.J., Safran Aircraft Engines
avatar
"Cette formation est très bien conçue avec une très bonne pédagogie du formateur."
M.L.J., RATP
avatar
"Formation correspondant à mes attentes"
G.L.G., CRAMIF
avatar
"Très satisfait - Formateur maitrisant parfaitement le sujet."
B.A., EDF
avatar
"Très satisfait - Le formateur était pédagogue, patient et expérimenté. De plus, le groupe comprenait peu de personnes. Je suis donc très satisfait de cette formation."
B.F., Alten SIR
avatar
"Très satisfait - Je suis particulièrement satisfait de la formation surtout par la disponibilité du formateur et par le contenu du programme."
E.Y.Z., CGI
avatar
"Très satisfait - Super formation avec un super formateur !"
J.B., Devoteam
avatar
"Très satisfaite - vraiment ravie de cette formation, j’ai pu mieux appréhender l’orientation objet. Xavier a toujours su répondre à mes questions et remarques!"
C.A., BRED Banque Populaire
avatar
"Très satisfaite - Approche pas à pas avec une alternance pratique et théorie fortement appréciée"
F.M., Invensense Movea France
avatar
"Très satisfait - Explications toujours pertinentes et très claires. Formateur ayant une approche très pédagogique et très compétent sur le sujet"
L.S., Collins Aerospace
avatar
"Très satisfait - Très bon formateur, très compétent et expliquant de manière graduelle les concepts mis en jeu."
V.N., SNAO
Activateur France Num
sagexa activateur France Num

© Sagexa.com