Discussion :

[Milk_]

Bonjour tout le monde,

J'ai une question concernant la sécurité d'un script.
Exemple : une gallerie d'image.

Quand le visiteur clique sur "Effacer cette image", une requete en AJAX est envoyée vers
include/delete.php?idphoto=123

Le dossier /include est protégé par un htaccess qui empeche à tout le monde sauf au serveur d'y accéder :
Order Deny,Allow
Allow from 127.0.0.1
Deny from All

ma question est : un visiteur qui ne peut pas avoir accès au lien "effacer cette image" peut-il accéder à la page delete.php ? Peut-on "injecter" du javascript sur une page pour y insérer une requete AJAX ?

Merci pour vos réponses !

[maxime.ohayon]

a question est : un visiteur qui ne peut pas avoir accès au lien "effacer cette image" peut-il accéder à la page delete.php ? Peut-on "injecter" du javascript sur une page pour y insérer une requete AJAX ?

Salut
Si ton fichier delete.php est protéger par un htaccess ( dossier include ) alors aucun utilisateur pourra y acceder.
Par contre l'histoire de l'injection javascript je ne sais pas.

max

[deuspi]

Salut,

La requête en AJAX est effectuée par le client (navigateur) et donc pas par 127.0.0.1

Par conséquent je pense que ton appel à /include/delete.php ne pourra jamais fonctionner, AJAX ou pas. Sauf si la machine qui fait l'appel est 127.0.0.1 (c'est à dire si tu le fais sur le serveur directement)

Sinon concernant l'injection de javascript oui c'est possible. Tout ce qui vient du client doit être vérifié, validé, contre-validé, car potentiellement bidouillé par un utilisateur malveillant.

A+

[Hujii]

Pour l'injection javascript, vu que tu supprimes une photo par l'id
Bah tu fais une expression régulière qui accepte que les chiffres

[Milk_]

Salut,

La requête en AJAX est effectuée par le client (navigateur) et donc pas par 127.0.0.1

Par conséquent je pense que ton appel à /include/delete.php ne pourra jamais fonctionner, AJAX ou pas. Sauf si la machine qui fait l'appel est 127.0.0.1 (c'est à dire si tu le fais sur le serveur directement)

Sinon concernant l'injection de javascript oui c'est possible. Tout ce qui vient du client doit être vérifié, validé, contre-validé, car potentiellement bidouillé par un utilisateur malveillant.

A+

Ok, une requete AJAX est une requete de l'utilisateur vers le serveur et non pas du serveur au serveur. Je travaillais en local donc je n'avais pas pu testé.

Donc Ajax ne change rien, je fois faire tous mes filtres sur la page PHP.