Formulaire bien sécurisé

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par michel.leonard, 9 Décembre 2010.

  1. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    361
    J'aime reçus:
    0
    salut a tous, amis WRInautes

    je me posais une question ! comme d'habitude ... Selon vous comment faire un formulaire sécurisé ? Je vais vérifier chaque champ par expression rationnelle et les injecter dans une base SQL ... Mais quelle est la meilleure méthode pour passer d'un bouton envoi, vers une variable php sans modifier le contenu de l'url ?

    Merci a celui ou celle qui m'apportera une réponse fiable...


    Bonne fin de soirée, bonne journée à tous...
     
  2. ap34df
    ap34df WRInaute occasionnel
    Inscrit:
    7 Septembre 2010
    Messages:
    413
    J'aime reçus:
    0
    La méthode $_POST.

    Sinon, en vrac...
    Traitement du formulaire sur une autre page.php
    Vérif via les session que la page de traitement n'est résolu que si elle est appelée depuis la page du formulaire
    Vérif des données soumises (comme tu le dis)
    Question anti-bot
    Traitement mysqli_real_escape_string avant intégration en bdd
     
  3. Julia41
    Julia41 WRInaute passionné
    Inscrit:
    31 Août 2007
    Messages:
    1 774
    J'aime reçus:
    0
    Pour l'insertion SQL tu dois échapper comme dit Ehplod.
    Si tu attends un entier quelquepart (un champ "id" par exemple) tu regardes si elle est pas = à 0 après un int($ta_var).

    Tu peux regarder du côté de fitler_var qui a des filtres de validation "est-ce que l'URL est valide" (FILTER_VALIDATE_URL/IP) et des filtres de nettoyage (FILTER_SANITIZE).

    Tu as des choix à faire aussi : est-ce que je veux ou non de l'HTML dans ma base, si j'en veux est-ce que je le stock échappé (je n'aurais donc pas à l'échapper) les fonctions strip_tags peuvent aider pour supprimer l'html, pour l'affichage un htmlspecialchars/entities peut être nécessaire.

    Tu peux généralement tester contre les XSS en indiquant :
    Code:
    <script>alert (document.cookie);</script>
    ou
    "><script>alert (document.cookie);</script>
    dans tes input de type text.
    Le second parchera dans le cas où tu aurais un :
    Code:
    if($erreur){
    ... on affiche le formulaire
    <input type="text" value="<?php echo $_POST['ma_var']; ?>" />
    Ce code génerera donc:
    <input type="text" value=""><script>alert (document.cookie);</script>" />[/code]
    d'où un échappement nécessaire en htmlspecialchars.

    Généralement je fais de la validation "secondaire" aussi (pas sécure mais qui limite les performances d'un hack):
    si j'ai un varchar(255) dans ma base et qu'on me soumets une chaine de plus de 256 caractères c'est très louche, surtout si c'était un champ pseudo.
     
Chargement...
Similar Threads - sécurisé Forum Date
Site non sécurisé avec htaccess Demandes d'avis et de conseils sur vos sites 27 Juillet 2022
sécuriser upload fichier csv.gz Développement d'un site Web ou d'une appli mobile 9 Mars 2022
Page d'accueil non sécurisé? Le café de WebRankInfo 29 Juillet 2021
Mon site est https mais l'url de la home page est affichée comme non sécurisée par Google Administration d'un site Web 16 Novembre 2020
Safari ne peut pas établir de connexion sécurisée au serveur Demandes d'avis et de conseils sur vos sites 5 Mai 2020
"Serverpilot" peut il vraiment sécurisé un serveur quand on y connait rien Administration d'un site Web 27 Octobre 2018
Message firefox image non sécurisé Problèmes de référencement spécifiques à vos sites 5 Mars 2017
E-commerce : dès 2017, Google va sanctionner les sites non-sécurisés Google : l'entreprise, les sites web, les services 2 Décembre 2016
Upload d'avatars sécurisé Développement d'un site Web ou d'une appli mobile 17 Mars 2015
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015
Pour Chrome, un site HTTP est NON sécurisé ! Administration d'un site Web 29 Janvier 2015
sécuriser les injections SQL Développement d'un site Web ou d'une appli mobile 20 Novembre 2014
Google en mode sécurisé Référencement Google 18 Janvier 2012
Paypal ou Solution d'encaissement Sécurisé? e-commerce 15 Janvier 2012
Quel outil pour sécuriser un site ? vérification périodique des fichiers Administration d'un site Web 21 Octobre 2011
Comment sécuriser le lien de mon produit numérique ? e-commerce 18 Août 2011
Stocker ses mots de passe sur un serveur distant sécurisé Le café de WebRankInfo 23 Juillet 2011
Question sur le développement d'une architecture web sécurisée Développement d'un site Web ou d'une appli mobile 16 Juin 2011
Création d'une page avec uniquement les titres d'une page sécurisée Développement d'un site Web ou d'une appli mobile 3 Mai 2011
Sécurisé un site (dossiers, images etc...) Administration d'un site Web 22 Octobre 2010