Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
RegexValidator et nettoyage des input
Bonjour,
Je me pose une question qui relève plutôt de la sécurité.
Sur mes formulaires, je mets des RegexValidator en précisant bien les caractères autorisés. Je sais que ces validateurs valident les entrées côté client ET côté serveur.
Est-ce donc la peine, dans la méthode de traitement de soumission du formulaire, de re-vérifier les chaînes, et de les nettoyer?
Merci
> Funkee.fr - Notifications musicales pour ne plus louper des sorties d'album ou des concerts près de chez soi
Bonjour,
pour des raisons de sécurités il est conseillé de ne pas faire confiance aux données venant du client, même si tu as placé des contrôles sur ta page
en effet rien n'interdit d'envoyer des données non valides via un outil genre fiddler (http://www.fiddler2.com/fiddler2/), et donc de passer les contrôles côté client
le client peut aussi avoir désactiver javascript, également suivant le navigateur le fonctionnement des contrôles peut-être différent (surtout avec les bibliothèques payantes)
donc oui il faut recontrôler les données en codebehind , avec System.Text.RegularExpressions dans ton cas
Cordialement
Bonjour,
Merci pour ta réponse, néanmoins tu sembles évoquer seulement la validation client. Je vois sur MSDN que la validation côté serveur est également faite, avec la classe que tu cites (System.Text.RegularExpressions).
Il me semble donc que même en postant en évitant le côté client on ne peut envoyer n'importe quoi? Ou en tout cas le process du formulaire ne se fait pas!
Enfin si quelqu'un peut me confirmer...
> Funkee.fr - Notifications musicales pour ne plus louper des sorties d'album ou des concerts près de chez soi
j'ai testé le code MSDN que tu as passé, effectivement le serveur contrôle la saisie dans tous les cas (avec les contrôles Validation de Microsoft, les autres lib je sais pas)
il faut tester IsValid, sinon tu passes :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9if (Page.IsValid) { lblOutput.Text = "Page is Valid."; } else { lblOutput.Text = "Page is InValid."; }
Il ne devrait pas y avoir de vérification (ou des minimes) dans le code behind de la page, mais plutot dans le "Model".
Tout doit systématiquement etre controlé dans ton modele, le javascript permet surtout a "filtrer" et "localiser" la prevenance sur la page de facon "esthétique" a l'utilisateur.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager