Double vérification en PHP

biskbart · 04/06/2006, 20h25

Voila, je n'ai pas encore de probleme mais je me pose la question suivante.
Supposons qu'on ait un formulaire ou il faut juste donner son adresse mail
Nous sommes sur la page monsite.fr/email.php3
Une fonction en javascript verifie la validité de l'email et si c'est bon envoie en method post vers monsite.fr/okemail.php3
Mais supposons que on stocke une page sur un autre serveur qui sappelle autreemail.php3 et qui renvoie en methode post une adresse email vers monsite.fr/okemail.php3.
La on ne sera pas passé par la verification javascript et donc on aura un email invalide.
Faut-il forcement reverifier toutes les infos en PHP ?
MErci de me répondre.
SI je ne suis pas clair dites le moi

wamania · 04/06/2006, 22h42

considère la vérification javascript comme un plus
seule la vérification PHP est valable et sur, car on peut facilement désactiver javascript pour envoyer autre chose.
La vérification javascript permet une vérification sans recharger la page (économie de ressource), c'est pour cela qu'on l'utilise qd meme, mais elle doit obligatoirement s'accompagner d'une vérification PHP (ça concerne toutes les données post et encore plus get)

biskbart · 05/06/2006, 10h37

Je n'avais pas vu cet aspect là. Merci pour la réponse !
Bonne journée

doctorrock · 05/06/2006, 16h48

Je confirme tout à fait, rien n'empeche un visiteur lambda de désactiver Javascript, et c'est fini.
Il faut toujours valider les données COTE SERVEUR. La validation coté client n'est qu'un plus agréable.
La classe quickform de PEAR fait très bien cela. Sinon, tu peux utiliser l'extension "filter" de PHP ( experimental , ici : http://fr3.php.net/manual/en/ref.filter.php )

biskbart · 05/06/2006, 17h21

Merci pour les réponses et pour le lien je ne connaissais pas du tout . Merci pour l'info

php_de_travers · 06/06/2006, 20h20

Citation:

Envoyé par doctorrock

Je confirme tout à fait, rien n'empeche un visiteur lambda de désactiver Javascript, et c'est fini.
Il faut toujours valider les données COTE SERVEUR. La validation coté client n'est qu'un plus agréable.
La classe quickform de PEAR fait très bien cela. Sinon, tu peux utiliser l'extension "filter" de PHP ( experimental , ici : http://fr3.php.net/manual/en/ref.filter.php )

Merci pour le lien, mais faut espérer que php6 intègrera cette stratégie sans passer par pear qui est quand même un luxe auquel on n'accède pas sans avoir de serveur dédié.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Fatal error: Call to undefined function: filter_data() in /home/monsite/www/filter.php on line 2

04/06/2006, 20h25	#1
biskbart Invité de passage Inscription : juin 2006 Messages : 3 Détails du profil Informations forums : Inscription : juin 2006 Messages : 3 Points : 0 Points : 0	Double vérification en PHP Voila, je n'ai pas encore de probleme mais je me pose la question suivante. Supposons qu'on ait un formulaire ou il faut juste donner son adresse mail Nous sommes sur la page monsite.fr/email.php3 Une fonction en javascript verifie la validité de l'email et si c'est bon envoie en method post vers monsite.fr/okemail.php3 Mais supposons que on stocke une page sur un autre serveur qui sappelle autreemail.php3 et qui renvoie en methode post une adresse email vers monsite.fr/okemail.php3. La on ne sera pas passé par la verification javascript et donc on aura un email invalide. Faut-il forcement reverifier toutes les infos en PHP ? MErci de me répondre. SI je ne suis pas clair dites le moi
	00

04/06/2006, 22h42	#2
wamania Rédacteur Développeur Web Inscription : juillet 2003 Messages : 676 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juillet 2003 Messages : 676 Points : 678 Points : 678	considère la vérification javascript comme un plus seule la vérification PHP est valable et sur, car on peut facilement désactiver javascript pour envoyer autre chose. La vérification javascript permet une vérification sans recharger la page (économie de ressource), c'est pour cela qu'on l'utilise qd meme, mais elle doit obligatoirement s'accompagner d'une vérification PHP (ça concerne toutes les données post et encore plus get) __________________ Articles sur developpez.com - Gestion des exceptions avec PHP5 - Chiffrement et hash en PHP contre l'attaque Man in the middle - Aedituus - Espace membre sécurisé en PHP5 Lithium : ORM ActiveRecord PHP5 extrêmement léger
	00

05/06/2006, 10h37	#3
biskbart Invité de passage Inscription : juin 2006 Messages : 3 Détails du profil Informations forums : Inscription : juin 2006 Messages : 3 Points : 0 Points : 0	Ah oui Je n'avais pas vu cet aspect là. Merci pour la réponse ! Bonne journée
	00

05/06/2006, 17h21	#5
biskbart Invité de passage Inscription : juin 2006 Messages : 3 Détails du profil Informations forums : Inscription : juin 2006 Messages : 3 Points : 0 Points : 0	Merci Merci pour les réponses et pour le lien je ne connaissais pas du tout . Merci pour l'info
	00

05/06/2006, 16h48	#4
doctorrock Rédacteur Julien Pauli Architecte de système d'information Inscription : mai 2006 Messages : 597 Détails du profil Informations personnelles : Nom : Julien Pauli Âge : 29 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Architecte de système d'information Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : mai 2006 Messages : 597 Points : 5 015 Points : 5 015	Je confirme tout à fait, rien n'empeche un visiteur lambda de désactiver Javascript, et c'est fini. Il faut toujours valider les données COTE SERVEUR. La validation coté client n'est qu'un plus agréable. La classe quickform de PEAR fait très bien cela. Sinon, tu peux utiliser l'extension "filter" de PHP ( experimental , ici : http://fr3.php.net/manual/en/ref.filter.php )
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email