jeton de sécurité-token

Royade · 27/12/2012, 10h47

Bonjour,
J'ai mis en place un systeme de token sur mes formulaire, je genere une clée aléatoire, je l'insere dans une session puis dans un champ caché de mon formulaire, une fois le formulaire envoyé je compare la valeur de la session avec la valeur du champ caché:
ca marche tres bien mais j'ai un petit soucis avec mes formulaires lorsque l'utilisateur appui plusieur fois sur le bouton "envoyer" , le champ caché du formulaire et la session ont alors 2 clées différentes..

quelqu'un a une petite solution?

j'ai rajouté un script qui permet de valider une seule fois le formulaire, mais bon le javascript ca se désactive, si quelqu'un a une petite idée de la manière dont il faut s'y prendre je suis preneur

Séb. · 27/12/2012, 12h26

Citation:

lorsque l'utilisateur appui plusieur fois sur le bouton "envoyer" , le champ caché du formulaire et la session ont alors 2 clées différentes..

Laquelle des deux clefs est modifiée ?
Comment gères-tu tes clefs ?

ascito · 27/12/2012, 12h42

Tu pourrais juste vérifier que pour la session courante, le token dans la session n'a pas encore été créé, et si c'est le cas ne pas écraser l’ancienne valeur comme tu as l'air de le faire .

Royade · 27/12/2012, 12h44

Citation:

Laquelle des deux clefs est modifiée ?

La session prend une autre valeur.

mon code est fait comme ca.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<?php
//on compare la valeur du post avec celle de la session
if( $_POST['$key'] == $_SESSION['key'])
{
// tout est ok on continue le traitement
}
 
//je genere ma clé avant le formulaire:
$key = md5(random_str(20));
$_SESSION['key'] = $key;	
?>
 
//je la met dans le formulaire dans un champ caché
<form action="">
...
<input type= "hidden" name="Secure" value="<?php echo $key; ?>" />
</form>

Séb. · 27/12/2012, 12h50

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if( $_POST['$key'] == $_SESSION['key'])

Normal le $_POST['$key'] ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION['key'] = $key;

A ne pas faire systématiquement comme dit par ascito.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type= "hidden" name="Secure" value="<?php echo $key; ?>" />

Plus haut le champ s'appelait $key ou key, ici il s'appelle Secure. Traitement intermédiaire ?

Royade · 27/12/2012, 13h29

oui dsl probleme de copier coller,
c 'est bien
if($_POST['Secure'] == $_SESSION['key'])

Citation:

Tu pourrais juste vérifier que pour la session courante, le token dans la session n'a pas encore été créé, et si c'est le cas ne pas écraser l’ancienne valeur comme tu as l'air de le faire .

D'accord, oui effectivement le token change a chaque fois que la page est raffraichit, ca donnerait donc quelque chose comme ca?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?php
if( $_POST['Secure'] == $_SESSION['key'])
{// tout est ok on continue le traitement
}
 
if(empty($_SESSION['key']))
{	
$_SESSION['key'] = md5(random_str(20));;	
}		
?>
//je la met dans le formulaire dans un champ caché
<form action="">
...
<input type= "hidden" name="Secure" value="<?php echo $_SESSION['key']; ?>" />
</form>

faut il donner une limiation dans le temps ? que la session contenant la clé unique sois supprimé au bout d'un certain temps ? ca change quelque chose au niveau de la sécuritée ?

Merci pour vos réponse en tout cas

27/12/2012, 10h47	#1
Royade Candidat au titre de Membre du Club Inscription : avril 2012 Messages : 88 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : avril 2012 Messages : 88 Points : 13 Points : 13	jeton de sécurité-token Bonjour, J'ai mis en place un systeme de token sur mes formulaire, je genere une clée aléatoire, je l'insere dans une session puis dans un champ caché de mon formulaire, une fois le formulaire envoyé je compare la valeur de la session avec la valeur du champ caché: ca marche tres bien mais j'ai un petit soucis avec mes formulaires lorsque l'utilisateur appui plusieur fois sur le bouton "envoyer" , le champ caché du formulaire et la session ont alors 2 clées différentes.. quelqu'un a une petite solution? j'ai rajouté un script qui permet de valider une seule fois le formulaire, mais bon le javascript ca se désactive, si quelqu'un a une petite idée de la manière dont il faut s'y prendre je suis preneur
	00

27/12/2012, 12h42	#3
ascito Membre chevronné Inscription : juin 2007 Messages : 567 Détails du profil Informations forums : Inscription : juin 2007 Messages : 567 Points : 703 Points : 703	Tu pourrais juste vérifier que pour la session courante, le token dans la session n'a pas encore été créé, et si c'est le cas ne pas écraser l’ancienne valeur comme tu as l'air de le faire . __________________ Conception / Dev
	00

27/12/2012, 12h50	#5
Séb. Expert Confirmé Inscription : mars 2005 Messages : 2 977 Détails du profil Informations personnelles : Âge : 35 Localisation : France Informations professionnelles : Secteur : High Tech - Opérateur de télécommunications Informations forums : Inscription : mars 2005 Messages : 2 977 Points : 3 693 Points : 3 693	Code : Sélectionner tout - Visualiser dans une fenêtre à part if( $_POST['$key'] == $_SESSION['key']) Normal le $_POST['$key'] ? Code : Sélectionner tout - Visualiser dans une fenêtre à part $_SESSION['key'] = $key; A ne pas faire systématiquement comme dit par ascito. Code : Sélectionner tout - Visualiser dans une fenêtre à part <input type= "hidden" name="Secure" value="<?php echo $key; ?>" /> Plus haut le champ s'appelait $key ou key, ici il s'appelle Secure. Traitement intermédiaire ? __________________ Un problème exposé clairement est déjà à moitié résolu Keep It Smart and Simple
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email