Sécurité dans Laravel : Guide des Meilleures Pratiques

La sécurité est un aspect crucial du développement web moderne. Laravel intègre de nombreuses fonctionnalités de sécurité par défaut, mais il est important de comprendre comment les utiliser efficacement.

1. Protection CSRF

Laravel protège automatiquement vos formulaires contre les attaques CSRF (Cross-Site Request Forgery).

<form method="POST" action="/profile">
    @csrf
    <!-- Champs du formulaire -->
</form>

Configuration personnalisée

// config/session.php
return [
    'token_lifetime' => 120, // minutes
];

2. Protection XSS

Échappement automatique avec Blade

{{ $userInput }} // Échappé automatiquement
{!! $trustedHtml !!} // Non échappé - à utiliser avec précaution

Middleware de sécurité

// app/Http/Middleware/SecurityHeaders.php
public function handle($request, Closure $next)
{
    $response = $next($request);
    
    $response->headers->set('X-XSS-Protection', '1; mode=block');
    $response->headers->set('X-Frame-Options', 'SAMEORIGIN');
    $response->headers->set('X-Content-Type-Options', 'nosniff');
    
    return $response;
}

3. Authentification et Autorisation

Configuration de Sanctum pour API

composer require laravel/sanctum

php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"

Exemple de protection de route

Route::middleware(['auth:sanctum'])->group(function () {
    Route::get('/user/profile', function () {
        return auth()->user();
    });
});

Policies pour l’autorisation

php artisan make:policy PostPolicy --model=Post

class PostPolicy
{
    public function update(User $user, Post $post)
    {
        return $user->id === $post->user_id;
    }
}

4. Validation des données

Validation dans les requêtes

class StoreUserRequest extends FormRequest
{
    public function rules()
    {
        return [
            'email' => 'required|email|unique:users',
            'password' => 'required|min:8|regex:/^.*(?=.{3,})(?=.*[a-zA-Z])(?=.*[0-9]).*$/',
            'name' => 'required|string|max:255'
        ];
    }
}

5. Gestion des sessions sécurisées

Configuration des sessions

// config/session.php
return [
    'driver' => env('SESSION_DRIVER', 'file'),
    'lifetime' => env('SESSION_LIFETIME', 120),
    'expire_on_close' => false,
    'encrypt' => true,
    'secure' => true, // Pour HTTPS
];

6. Protection contre les injections SQL

Utilisation des requêtes préparées

// Mauvaise pratique
$users = DB::select('select * from users where active = ' . $active);

// Bonne pratique
$users = DB::select('select * from users where active = ?', [$active]);

7. Stockage sécurisé des mots de passe

// Dans le modèle User
public function setPasswordAttribute($value)
{
    $this->attributes['password'] = Hash::make($value);
}

8. Logging et monitoring

// config/logging.php
'channels' => [
    'security' => [
        'driver' => 'daily',
        'path' => storage_path('logs/security.log'),
        'level' => 'warning',
        'days' => 14,
    ],
],

Bonnes pratiques supplémentaires

1. Utilisez HTTPS en production
2. Mettez régulièrement à jour Laravel et ses dépendances
3. Configurez correctement les permissions des fichiers
4. Utilisez des variables d’environnement pour les informations sensibles
5. Implémentez la limitation de taux (Rate Limiting)

Conclusion

La sécurité est un processus continu qui nécessite une vigilance constante. Laravel fournit de nombreux outils pour sécuriser votre application, mais il est crucial de les comprendre et de les utiliser correctement.

Ressources utiles

• Documentation officielle de sécurité Laravel
• OWASP Top 10
• Laravel Security Checklist