ajax et sécurité [Débutant(e)]

gotcha5832 · 05/12/2011, 11h53

Bonjour a tous.

Voila je me débrouille en php, html, un peu en js, mais AJAX jamais fais.

Sur ma boutique a base oscommerce, j'ai un formulaire en html classique, avec captcha.
Le soucis c'est que j'ai des client qui me dise m'y avoir ecrit mais aucun mail recu.

J'ai donc rajouter un enregistrement dans la BDD, que le formulaire et Captcha soit correct ou non.
Malgré ca des client me dise m'avoir écris mais aucune trace ni dans les mail, ni sur la table.

J'ai donc pensé passer en ajax mais j'y connais rien.
Je suis partit de http://www.chiroux.com/tutoriel-pour-un-formulaire-ajax/

Ca à l'air de fonctionner ca s'enregistrer meme si on click pas sur envoyer.

Mais j'aimerais avant de le mettre en ligne, connaitre les risques, et les sécurité.

Merci à vous.

P.S. mon ajax enregistre sur un base différente du reste de la boutique,

Merci a vous

FotoXe33 · 06/12/2011, 10h23

Salut.

Tu ne penses pas que le problème est plutôt "pourquoi ça n'envoie pas de mail et ça n'enregistre pas sur ma BDD ?" ?

Sinon pour ajax :
Niveau sécurité, tout dépend de ce que tu code. Ajax peut être très sécurisé comme mortel pour un site web, il faut faire attention à ce qu'on y met et ce qu'on peut faire exécuter au serveur.

Ce qu'il te faudrait c'est un formulaire, qui lors de sa soumission (événement onSubmit ou .submit() en jQuery) cela ai pour conséquence l'envoi du message côté serveur et ce dernier (APRÈS MOULT TEST AFIN D’ÉVITER LES PROBLÈMES DE SÉCU) le mette en BDD.

Utiliser Ajax changera ta technique mais pas ton problème à mon avis... Pose plutôt le code erroné pour obtenir plus d'aide

gotcha5832 · 06/12/2011, 11h20

je te remercie pour ta réponse.

Mais j'ai déjà vu et revu mon code hphp de toute les facon, repartit a zero, et disons que j'ai un pb sur 100 requete ok.
je pense que le souci viens de personne qui
- ne rentre pas le bon captcha et pense que c'est ok
- ne rentre pas les info indispensable et c'est ok

Du coup en ajx je peut enregistrer à la volée.
Donc bon ou pas, ca enregsitrera les infos qu'il rentre.

J'ai crée un base à part, avec un user, limiter en insert, select, update sur cette table.

Pour le code php. je pense que c'est pas le bon endroit hormis en mp,

Bovino · 06/12/2011, 11h30

Citation:

Donc bon ou pas, ca enregsitrera les infos qu'il rentre.

Ben oui. Ceci dit, autant supprimer toutes les vérifications...

Citation:

je pense que le souci viens de personne qui
- ne rentre pas le bon captcha et pense que c'est ok
- ne rentre pas les info indispensable et c'est ok

Dans ce cas, affiche-leur un message d'information...

FotoXe33 · 06/12/2011, 11h37

Alors pourquoi tout simplement ne pas signifier aux utilisateurs que les informations ne sont pas correcte ? Un nombre incalculable de plugin (jQuery ou non du reste) existe pour la validation de formulaire. Pour ce qui est du captcha, j'ai toujours pensé que c'était inutile au possible et a bannir. Cela étant, quel système de captcha utilises-tu ? Es-tu sûre que ce dernier marche ?
Si tu fais la validation de formulaire en js comme je te le préconise, il faut également une vérification à l'identique en php (si par exemple la personne a désactiver js ou si un petit malin s'amuse à construire des requêtes frauduleuses), et dans le cas où les informations ne sont pas bonnes, tu remet le formulaire à l'utilisateur en conservant ce qu'il avait mit.

Grosso modo:

La vérification en js : si c'est ok on submit le formulaire sinon, on signifie les erreurs.
La vérification en php : si c'est ok, on envoie le mail/enregistre en BDD, sinon, on redirige vers le formulaire en stockant en session les renseignement saisit par l'utilisateur.
L'affichage HTML : Tu dois avoir pour chaque chant un test d'existence d'une variable en session (si elle existe on met dans l'attribut value le contenu de la session).

Voilà, si t'as d'autre questions/problème, demande toujours...

gotcha5832 · 06/12/2011, 14h08

Citation:

Envoyé par Bovino

Ben oui. Ceci dit, autant supprimer toutes les vérifications...

j'irai pas jusque là

Citation:

Envoyé par Bovino

Dans ce cas, affiche-leur un message d'information...

Citation:

Envoyé par FotoXe33

Alors pourquoi tout simplement ne pas signifier aux utilisateurs que les informations ne sont pas correcte ? ...

Soyons bien d'accord mon formuliare est tout ce qui est de plus classique.
Avec test sur email, texte, et captha
Si ok envoie email + enregistrement dbb
Sinon enregistrement bdd + message d'info dans une grosse boxe rouge:
Erreur Votre adresse email ne semble pas être valide.

Citation:

Erreur:Code Invalide .

Mais malgré ca des clients me disent je vous est envoyé un mail sur le formulaire.

FotoXe33 · 06/12/2011, 15h24

Citation:

Envoyé par FotoXe33

Pose plutôt le code erroné pour obtenir plus d'aide

Citation:

Envoyé par gotcha5832

j'irai pas jusque là

Bah si tu enregistre malgré les erreurs c'est comme si :/

Citation:

Envoyé par gotcha5832

Mais malgré ca des clients me disent je vous est envoyé un mail sur le formulaire.

Quel hébergeur utilises-tu ? As-tu vérifié si le problème ne viendrais pas de leur serveur (problème avec la fonction mail() de php ou pb de BDD) ? Quand tu fais des test cela marche ? As-tu fais un log d'erreur en cas de faillite, ça pourrait t'être utile...

05/12/2011, 11h53	#1
gotcha5832 Nouveau Membre du Club Inscription : septembre 2004 Messages : 236 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 236 Points : 35 Points : 35	ajax et sécurité Bonjour a tous. Voila je me débrouille en php, html, un peu en js, mais AJAX jamais fais. Sur ma boutique a base oscommerce, j'ai un formulaire en html classique, avec captcha. Le soucis c'est que j'ai des client qui me dise m'y avoir ecrit mais aucun mail recu. J'ai donc rajouter un enregistrement dans la BDD, que le formulaire et Captcha soit correct ou non. Malgré ca des client me dise m'avoir écris mais aucune trace ni dans les mail, ni sur la table. J'ai donc pensé passer en ajax mais j'y connais rien. Je suis partit de http://www.chiroux.com/tutoriel-pour-un-formulaire-ajax/ Ca à l'air de fonctionner ca s'enregistrer meme si on click pas sur envoyer. Mais j'aimerais avant de le mettre en ligne, connaitre les risques, et les sécurité. Merci à vous. P.S. mon ajax enregistre sur un base différente du reste de la boutique, Merci a vous
	00

06/12/2011, 10h23	#2
FotoXe33 Membre du Club Inscription : mai 2009 Messages : 234 Détails du profil Informations forums : Inscription : mai 2009 Messages : 234 Points : 53 Points : 53	Salut. Tu ne penses pas que le problème est plutôt "pourquoi ça n'envoie pas de mail et ça n'enregistre pas sur ma BDD ?" ? Sinon pour ajax : Niveau sécurité, tout dépend de ce que tu code. Ajax peut être très sécurisé comme mortel pour un site web, il faut faire attention à ce qu'on y met et ce qu'on peut faire exécuter au serveur. Ce qu'il te faudrait c'est un formulaire, qui lors de sa soumission (événement onSubmit ou .submit() en jQuery) cela ai pour conséquence l'envoi du message côté serveur et ce dernier (APRÈS MOULT TEST AFIN D’ÉVITER LES PROBLÈMES DE SÉCU) le mette en BDD. Utiliser Ajax changera ta technique mais pas ton problème à mon avis... Pose plutôt le code erroné pour obtenir plus d'aide __________________ Ce n'est pas parce qu'un chemin prends la direction que l'on souhaite qu'il mène où l'on veut... Trouver des inconvénients à Micro$oft, c'est comme faire une division par zéro, c'est infini...
	00

06/12/2011, 11h37	#5
FotoXe33 Membre du Club Inscription : mai 2009 Messages : 234 Détails du profil Informations forums : Inscription : mai 2009 Messages : 234 Points : 53 Points : 53	Alors pourquoi tout simplement ne pas signifier aux utilisateurs que les informations ne sont pas correcte ? Un nombre incalculable de plugin (jQuery ou non du reste) existe pour la validation de formulaire. Pour ce qui est du captcha, j'ai toujours pensé que c'était inutile au possible et a bannir. Cela étant, quel système de captcha utilises-tu ? Es-tu sûre que ce dernier marche ? Si tu fais la validation de formulaire en js comme je te le préconise, il faut également une vérification à l'identique en php (si par exemple la personne a désactiver js ou si un petit malin s'amuse à construire des requêtes frauduleuses), et dans le cas où les informations ne sont pas bonnes, tu remet le formulaire à l'utilisateur en conservant ce qu'il avait mit. Grosso modo: La vérification en js : si c'est ok on submit le formulaire sinon, on signifie les erreurs. La vérification en php : si c'est ok, on envoie le mail/enregistre en BDD, sinon, on redirige vers le formulaire en stockant en session les renseignement saisit par l'utilisateur. L'affichage HTML : Tu dois avoir pour chaque chant un test d'existence d'une variable en session (si elle existe on met dans l'attribut value le contenu de la session). Voilà, si t'as d'autre questions/problème, demande toujours... __________________ Ce n'est pas parce qu'un chemin prends la direction que l'on souhaite qu'il mène où l'on veut... Trouver des inconvénients à Micro$oft, c'est comme faire une division par zéro, c'est infini...
	00

06/12/2011, 11h20	#3
gotcha5832 Nouveau Membre du Club Inscription : septembre 2004 Messages : 236 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 236 Points : 35 Points : 35	je te remercie pour ta réponse. Mais j'ai déjà vu et revu mon code hphp de toute les facon, repartit a zero, et disons que j'ai un pb sur 100 requete ok. je pense que le souci viens de personne qui - ne rentre pas le bon captcha et pense que c'est ok - ne rentre pas les info indispensable et c'est ok Du coup en ajx je peut enregistrer à la volée. Donc bon ou pas, ca enregsitrera les infos qu'il rentre. J'ai crée un base à part, avec un user, limiter en insert, select, update sur cette table. Pour le code php. je pense que c'est pas le bon endroit hormis en mp,
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email