propriété MaxLength et sécurité [Résolu]

redoran · 26/01/2012, 12h57

Salam ; est ce que le propriété MaxLength suffit comme moyen de sécurité pour se protégé contre l'injection de code malveillant dans un champ de formulaire?

Bovino · 26/01/2012, 13h57

Non, certainement pas.

Cette propriété peut être supprimée avec le premier outil de développeur venu.
Elle n'empêche pas de créer ses propres requêtes GET (plus facile) ou POST sans avoir à se soucier du code HTML.
Les seules vérifications crédibles sont celles faites coté serveur, tout ce qui appartient à la partie HTML ou JavaScript n'est que de l'agrément / ergonomie destiné uniquement aux utilisateurs de bonne foi.

redoran · 26/01/2012, 14h30

Re ; évidement utilisé la méthode post , plus un script pour revivifier le contenu des champs c.a.d : qu'il ne porte pas de caractère spécifiques en utilisant htmlentities().
utilisation de la fonction md5 fournie par php pour crypter les mots de passe.

cyrano_de_bergerac · 01/02/2012, 17h31

De manière générale, toujours faire les contrôles côtés serveur, même s'ils sont déjà fait côté clients.

Côté client, les contrôles ne servent qu'à déjà prévenir l'utilisateur, et peuvent être contournés.

redoran · 02/02/2012, 13h04

Re ; Bobvino

Citation:

Cette propriété peut être supprimée avec le premier outil de développeur venu.

svp est ce que pouvez-vous me donné plus de détaille?

thelvin · 02/02/2012, 18h21

Citation:

Envoyé par redoran

svp est ce que pouvez-vous me donné plus de détaille?

Par exemple avec Firefox. Installer l'extension Web Developer.
Ceci ajoute le menu Tools/Web Developer.
Dedans on trouve le sous-menu Forms.
Dedans se trouve la commande Remove Maximum Lengths qui fait exactement ce qu'elle dit, dans la page en cours.

Les navigateurs peuvent donc parfaitement supprimer la propriété maxlength, et elle est donc inutile à la sécurité.
Elle n'est là que pour faire plus joli, comme le gras et l'italique.

redoran · 03/02/2012, 21h36

bonsoir ; merci thelvin

26/01/2012, 12h57	#1
redoran Membre expérimenté Developpeur- Amateur Inscription : juin 2010 Messages : 990 Détails du profil Informations personnelles : Sexe : Âge : 40 Localisation : Algérie Informations professionnelles : Activité : Developpeur- Amateur Secteur : Santé Informations forums : Inscription : juin 2010 Messages : 990 Points : 582 Points : 582	propriété MaxLength et sécurité Salam ; est ce que le propriété MaxLength suffit comme moyen de sécurité pour se protégé contre l'injection de code malveillant dans un champ de formulaire?
	00

26/01/2012, 13h57	#2
Bovino Responsable Développement Web Didier Mouronval Développeur Web Inscription : juin 2008 Messages : 13 808 Détails du profil Informations personnelles : Nom : Didier Mouronval Âge : 41 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juin 2008 Messages : 13 808 Points : 35 778 Points : 35 778	Non, certainement pas. Cette propriété peut être supprimée avec le premier outil de développeur venu. Elle n'empêche pas de créer ses propres requêtes GET (plus facile) ou POST sans avoir à se soucier du code HTML. Les seules vérifications crédibles sont celles faites coté serveur, tout ce qui appartient à la partie HTML ou JavaScript n'est que de l'agrément / ergonomie destiné uniquement aux utilisateurs de bonne foi. __________________ Pas de question technique par MP ! Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi ! Vous possédez un blog et aimeriez diffuser vos billets sur le forum, contactez-moi ! Mes formations video2brain : La formation complète sur JavaScript • JavaScript et le DOM par la pratique • PHP 5 et MySQL : les fondamentaux Mon livre sur jQuery
	00

26/01/2012, 14h30	#3
redoran Membre expérimenté Developpeur- Amateur Inscription : juin 2010 Messages : 990 Détails du profil Informations personnelles : Sexe : Âge : 40 Localisation : Algérie Informations professionnelles : Activité : Developpeur- Amateur Secteur : Santé Informations forums : Inscription : juin 2010 Messages : 990 Points : 582 Points : 582	Re ; évidement utilisé la méthode post , plus un script pour revivifier le contenu des champs c.a.d : qu'il ne porte pas de caractère spécifiques en utilisant htmlentities(). utilisation de la fonction md5 fournie par php pour crypter les mots de passe.
	00

01/02/2012, 17h31	#4
cyrano_de_bergerac Membre régulier Inscription : mars 2007 Messages : 318 Détails du profil Informations forums : Inscription : mars 2007 Messages : 318 Points : 84 Points : 84	De manière générale, toujours faire les contrôles côtés serveur, même s'ils sont déjà fait côté clients. Côté client, les contrôles ne servent qu'à déjà prévenir l'utilisateur, et peuvent être contournés.
	00

03/02/2012, 21h36	#7
redoran Membre expérimenté Developpeur- Amateur Inscription : juin 2010 Messages : 990 Détails du profil Informations personnelles : Sexe : Âge : 40 Localisation : Algérie Informations professionnelles : Activité : Developpeur- Amateur Secteur : Santé Informations forums : Inscription : juin 2010 Messages : 990 Points : 582 Points : 582	bonsoir ; merci thelvin
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email