Sécurité php : forms avec des champs hidden

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par frozax, 9 Février 2006.

  1. frozax
    frozax Nouveau WRInaute
    Inscrit:
    9 Février 2006
    Messages:
    6
    J'aime reçus:
    0
    Bonjour,

    J'utilise un formulaire pour que les utilisateurs puissent s'inscrire à une newsletter en même temps qu'ils lancent un téléchargement.
    J'ai donc deux champs: le champ avec l'email de l'utilisateur, et un champ id avec l'id du téléchargement (hidden). Cet id me sert dans le script php qui est exécuté par le formulaire pour que je trouve le téléchargement à lancer. Le problème, c'est qu'un utilisateur peut modifier ce champ m'envoyer n'importe quoi en id.
    Pour le moment, je vais contrer ça en vérifiant si c'est un id valide, mais est-ce qu'il y a un moyen autre que de passer par un champ hidden pour envoyer ce paramètre ?

    Merci
     
  2. yann214
    yann214 WRInaute occasionnel
    Inscrit:
    17 Novembre 2005
    Messages:
    370
    J'aime reçus:
    0
    il peut te passer un parametre soit par un champ hidden (methode POST) soit par l'adresse du lien (methode GET).
    Donc dans ton script qui recupére tes paramètres, tu dois juste les récupérer selon la méthode que tu as choisi, et faire comme tu le dis les tests qui font que s'il met une autre valeur à un parametre, il ne puisse pas voir qq chose qu'il n'a pas le droit de voir.
     
  3. frozax
    frozax Nouveau WRInaute
    Inscrit:
    9 Février 2006
    Messages:
    6
    J'aime reçus:
    0
    ok, c'est ce que je fais du coup maintenant.
    je suis en methode POST, j'ai rajouté un is_numeric sur mon id, et je vérifie aussi que la valeur n'est pas absurde.
    je pensais juste qu'il y avait un autre moyen de passer un paramètre constant non éditable que le champ hidden.
    merci en tout cas!
     
  4. Sir Dipp
    Sir Dipp WRInaute impliqué
    Inscrit:
    21 Juillet 2003
    Messages:
    899
    J'aime reçus:
    0
    Par Session ?
     
  5. zimounet
    zimounet WRInaute passionné
    Inscrit:
    8 Novembre 2004
    Messages:
    1 374
    J'aime reçus:
    0
    pas assez sure par session.

    Pour la vérification de la validité de l'id, passe par une petite requete mysql pour voir si l'id du champ id correspond bien a un id de mysql!!! (c'est plus sure!)
     
Chargement...
Similar Threads - Sécurité php forms Forum Date
Client mail en PHP : sécurité ? (PJ, mail html...) Développement d'un site Web ou d'une appli mobile 1 Décembre 2012
Securite PHP/SQL Développement d'un site Web ou d'une appli mobile 6 Juin 2011
envoi email avec fonction mail() php sécurité ? Développement d'un site Web ou d'une appli mobile 3 Février 2010
Attention faille de sécurité avec Phpmyvisits Administration d'un site Web 4 Janvier 2010
Un formulaire en PHP avec pièce jointe: sécurité! Développement d'un site Web ou d'une appli mobile 31 Août 2009
[RESOLU] Faille de sécurité PHPBB Administration d'un site Web 20 Juin 2008
PhpSecInfo : test du niveau de sécurité de PHP Développement d'un site Web ou d'une appli mobile 25 Octobre 2006
[php] Avis sur la sécurité de mon code (include) Développement d'un site Web ou d'une appli mobile 1 Octobre 2006
Url rewriting et failles de sécurité PHP Débuter en référencement 20 Septembre 2006
[Sécurité] Script php / Serveur Mysql Crawl et indexation Google, sitemaps 21 Août 2006
PHP : Session , sécurité , cookies Développement d'un site Web ou d'une appli mobile 31 Mai 2006
Sécurité php Développement d'un site Web ou d'une appli mobile 4 Mai 2006
[forum] punbb - phpbb et la sécurité ? Administration d'un site Web 13 Avril 2006
[PHP]Sécurité formulaire Développement d'un site Web ou d'une appli mobile 11 Décembre 2005
Formulaire PHP et sécurité Administration d'un site Web 16 Juillet 2005
Cache PHP et sécurité Administration d'un site Web 1 Juillet 2005
[php] Faille de sécurité include() Administration d'un site Web 4 Janvier 2005
Cherche des gens calés en sécurité PHP/MySQL Administration d'un site Web 21 Septembre 2004
Google acquiert la startup de cybersécurité Siemplify pour 500 millions de dollars Google : l'entreprise, les sites web, les services 6 Janvier 2022
conseils sécurité sur internet Le café de WebRankInfo 1 Juin 2021