Vérification de formulaire et sécurité [Résolu]

isitien · 09/04/2011, 12h58

Bonjour,

La plupart des programmeurs utilisent jQuery pour verification des champs des formulaire, et on sait tres bien que le code est visualisable par les utilisateurs, est ce qu'il n'est pas dangereux pour le codeur au niveau de securite de son site?

Merci

Arnaud F. · 09/04/2011, 17h28

Bonjour,

avec les nouveaux navigateurs tels que Chrome et Firefox (avec Firebug) il est de toute façon "dangereux" de faire du JS pour faire des contrôles sensibles.

Il est possible depuis la console développeur de faire du JS pas à pas, voir la valeur des variables, le cas échéant les modifier et même appeler du code JS perso depuis la console...

En ce qui me concerne, la seule utilisation de JS est pour du "gadget", de l'affichage et un rendu de page dynamique mais en aucun cas pour des contrôles et autres

++

isitien · 10/04/2011, 03h41

Merci Arnaud F., et avec json, je vous donne un petit exemple qui donne 'valid' et 'invalid', est ce qu'il est securise ou non?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
{"name_check":"valid","email_check":"invalid","name":"isitien","email":null}

kangun · 11/04/2011, 14h08

juste un petit détail :
selon moi, le mieux est de faire une double vérification.
1) javascript ce qui permet de vérifier les données et de prévenir l'utilisateur sans recharger la page, mais est vulnérable avec les "typiak"... euh non pirates..

2) une vérification coté serveur (php, asp, jsp, ...) qui est donc moins rapide coté client (rechargement de la page) mais est déjà plus complexe à cracker...

de plus si le client s'amuse en effet avec firebug, il peut faire un peu n'importe quoi sur le formulaire

isitien · 12/04/2011, 02h39

merci kangun, alors je peux faire les 2 (json et php), c'est ca?

ABCIWEB · 12/04/2011, 03h21

Citation:

Envoyé par isitien

merci kangun, alors je peux faire les 2 (json et php), c'est ca?

Tu commence par faire une vérif standard de ton formulaire avec php seul (sans javascript).

Ensuite tu mets une couche javascript (avec ou sans json) pour le contrôle de tes champs.

Ainsi javascript sera utilisé pour le confort de l'utilisateur et éventuellement éviter des requêtes inutiles. Même en cas de hack javascript le contrôle final sera fait par php donc peut importe qu'on te modifie ton javascript.

SpaceFrog · 12/04/2011, 08h28

Citation:

Ainsi javascript sera utilisé pour le confort de l'utilisateur et éventuellement éviter des requêtes inutiles. Même en cas de hack javascript le contrôle final sera fait par php donc peut importe qu'on te modifie ton javascript.

+1000
Tout est dit

isitien · 13/04/2011, 03h03

j'ai trouve un tuto qui l'explique bien:
http://yensdesign.com/2009/01/how-va...ng-php-jquery/

ABCIWEB · 13/04/2011, 03h29

Oui ça à l'air pas mal...

Attention toutefois car ce code n'est pas très récent.
Notamment en php je vois dans le code html du formulaire des balises d'ouverture short tag (<? ) qui sont à remplacer par des balises standard (<?php ) sans quoi tu auras des pb avec php5 si ton serveur est configuré avec les recommandations par défaut.

isitien · 13/04/2011, 05h21

Merci a vous

09/04/2011, 12h58	#1
isitien Membre du Club Inscription : janvier 2007 Messages : 410 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 410 Points : 56 Points : 56	Vérification de formulaire et sécurité Bonjour, La plupart des programmeurs utilisent jQuery pour verification des champs des formulaire, et on sait tres bien que le code est visualisable par les utilisateurs, est ce qu'il n'est pas dangereux pour le codeur au niveau de securite de son site? Merci
	00

09/04/2011, 17h28	#2
Arnaud F. Rédacteur Arnaud Feltz Développeur .NET Inscription : août 2005 Messages : 5 204 Détails du profil Informations personnelles : Nom : Arnaud Feltz Âge : 25 Localisation : France Informations professionnelles : Activité : Développeur .NET Secteur : Transports Informations forums : Inscription : août 2005 Messages : 5 204 Points : 6 113 Points : 6 113	Bonjour, avec les nouveaux navigateurs tels que Chrome et Firefox (avec Firebug) il est de toute façon "dangereux" de faire du JS pour faire des contrôles sensibles. Il est possible depuis la console développeur de faire du JS pas à pas, voir la valeur des variables, le cas échéant les modifier et même appeler du code JS perso depuis la console... En ce qui me concerne, la seule utilisation de JS est pour du "gadget", de l'affichage et un rendu de page dynamique mais en aucun cas pour des contrôles et autres ++ __________________ C'est par l'adresse que vaut le bûcheron, bien plus que par la force. Homère Installation de Code::Blocks sous Debian à partir de Nightly Builds
	10

13/04/2011, 03h29	#9
ABCIWEB Membre Expert Inscription : septembre 2010 Messages : 1 242 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 1 242 Points : 1 564 Points : 1 564	Oui ça à l'air pas mal... Attention toutefois car ce code n'est pas très récent. Notamment en php je vois dans le code html du formulaire des balises d'ouverture short tag (<? ) qui sont à remplacer par des balises standard (<?php ) sans quoi tu auras des pb avec php5 si ton serveur est configuré avec les recommandations par défaut. __________________ - Réalisations - Interface graphique : génération en javascript d'objets défilants, texte et/ou images, mode horizontal ou vertical.
	00

11/04/2011, 14h08	#4
kangun Invité régulier Inscription : mars 2007 Messages : 20 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : mars 2007 Messages : 20 Points : 6 Points : 6	juste un petit détail : selon moi, le mieux est de faire une double vérification. 1) javascript ce qui permet de vérifier les données et de prévenir l'utilisateur sans recharger la page, mais est vulnérable avec les "typiak"... euh non pirates.. 2) une vérification coté serveur (php, asp, jsp, ...) qui est donc moins rapide coté client (rechargement de la page) mais est déjà plus complexe à cracker... de plus si le client s'amuse en effet avec firebug, il peut faire un peu n'importe quoi sur le formulaire
	10

12/04/2011, 02h39	#5
isitien Membre du Club Inscription : janvier 2007 Messages : 410 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 410 Points : 56 Points : 56	merci kangun, alors je peux faire les 2 (json et php), c'est ca?
	00

13/04/2011, 03h03	#8
isitien Membre du Club Inscription : janvier 2007 Messages : 410 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 410 Points : 56 Points : 56	j'ai trouve un tuto qui l'explique bien: http://yensdesign.com/2009/01/how-va...ng-php-jquery/
	00

13/04/2011, 05h21	#10
isitien Membre du Club Inscription : janvier 2007 Messages : 410 Détails du profil Informations forums : Inscription : janvier 2007 Messages : 410 Points : 56 Points : 56	Merci a vous
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email