Sécurité php : forms avec des champs hidden

[frozax]

Bonjour,

J'utilise un formulaire pour que les utilisateurs puissent s'inscrire à une newsletter en même temps qu'ils lancent un téléchargement.
J'ai donc deux champs: le champ avec l'email de l'utilisateur, et un champ id avec l'id du téléchargement (hidden). Cet id me sert dans le script php qui est exécuté par le formulaire pour que je trouve le téléchargement à lancer. Le problème, c'est qu'un utilisateur peut modifier ce champ m'envoyer n'importe quoi en id.
Pour le moment, je vais contrer ça en vérifiant si c'est un id valide, mais est-ce qu'il y a un moyen autre que de passer par un champ hidden pour envoyer ce paramètre ?

Merci

 

[yann214]

il peut te passer un parametre soit par un champ hidden (methode POST) soit par l'adresse du lien (methode GET).
Donc dans ton script qui recupére tes paramètres, tu dois juste les récupérer selon la méthode que tu as choisi, et faire comme tu le dis les tests qui font que s'il met une autre valeur à un parametre, il ne puisse pas voir qq chose qu'il n'a pas le droit de voir.

 

[frozax]

ok, c'est ce que je fais du coup maintenant.
je suis en methode POST, j'ai rajouté un is_numeric sur mon id, et je vérifie aussi que la valeur n'est pas absurde.
je pensais juste qu'il y avait un autre moyen de passer un paramètre constant non éditable que le champ hidden.
merci en tout cas!

 

[Sir Dipp]

Par Session ?

 

[zimounet]

pas assez sure par session.

Pour la vérification de la validité de l'id, passe par une petite requete mysql pour voir si l'id du champ id correspond bien a un id de mysql!!! (c'est plus sure!)