Formation Laravel - Sécurité
Cette formation d'une journée est destinée aux développeurs Laravel qui souhaitent créer des applications sécurisées de A à Z. Vous apprendrez à identifier les vulnérabilités courantes, à appliquer les protections intégrées de Laravel et à adopter les meilleures pratiques pour sécuriser l'authentification, l'autorisation, la validation des entrées, et bien plus encore.
Objectifs pédagogiques
- Reconnaître les vulnérabilités web courantes et les protections de Laravel
- Implémenter une authentification et une autorisation sécurisées avec les outils Laravel
- Configurer correctement les protections CORS et CSRF
- Valider et nettoyer les entrées utilisateur de manière sécurisée
- Gérer les uploads et le stockage de fichiers en toute sécurité
Pré-requis
- Bonne expérience avec PHP et le framework Laravel
- Compréhension des concepts de sécurité des applications web
- Familiarité avec les vulnérabilités web de base (XSS, CSRF, SQLi...)
Public
- Développeurs
- Chefs de projets
Programme
Jour 1
Configuration globale
- Sécurité PHP de base
- Configuration globale
- Sessions
- APP KEY
Les bases
- PHP brut dans les vues
- Validation des entrées
- Journalisation et gestion des erreurs
- Mises à jour et sauvegardes
- Tromper les robots
Cookies et sessions
- Configuration globale
- Configuration spécifique à Laravel
- Fixation de session
Mots de passe et chiffrement
- Chiffrer/déchiffrer les données
- Validation des mots de passe
- Réinitialiser les mots de passe
Authentification et permissions
- Packages officiels
- Laravel Passeport
- Gates et Policies
- Utilisateurs / rôles / permissions
Rate limiting
- Utilisation de base
- Limiter les actions / routes
Téléchargement et stockage de fichiers
- Qu'est-ce que c'est ?
- Règles de validation et nettoyage
- Configuration et utilisation des stockages
- Autorisations / permissions / visibilité
Affectation de masse
- Qu'est-ce que c'est ?
- Attentes vs. réalité
- Comment se protéger
Exposition excessive des données
- Qu'est-ce que c'est ?
Injection SQL (SQLI)
- Qu'est-ce que c'est ?
- Requêtes préparées
- Paramètres liés
- Les dangers
- Ce qu'il faut retenir
Cross-Site scripting (XSS)
- Qu'est-ce que c'est ?
- Contrôleurs
- Modèles
- Nettoyage des entrées
- Aides externes
Cross-Site Request Forgery (CSRF)
- Qu'est-ce que c'est ?
- Jeton anti-CSRF
- Middleware
- Formulaires
- X-csrf-token et X-xsrf-token
Cross origin resources sharing (CORS)
- Qu'est-ce que c'est ?
- Configuration
- allowed_origins et supports_credentials
Méthodes mobilisées
- Un formateur validé par nos équipes techniques et pédagogiques sera présent pendant toute la durée de la formation
- Pour les formations en présentiel, une salle de formation sera mise à disposition et équipée d'ordinateurs portables, d'un accès Wi-Fi, d'un projecteur et d'un tableau blanc. En distanciel la session sera suivie sur Zoom ou autre outil de visioconférence sur demande (Teams, Webex, Google Meet...).
- Un support de cours en version numérique sera remis à chaque participant
Modalités d’évaluation
- Questions orales ou écrites (QCM)
- Exercices pratiques
- Auto-positionnement en amont et aval de la formation
Accessibilité aux personnes handicapées
Nous nous engageons à rendre notre formation Laravel - Sécurité accessible aux personnes en situation de handicap. Merci de nous contacter afin que nous puissions réaliser les adaptations nécessaires en amont de la formation.Dernière modification le 24/06/2025