Discussion :

[isitien]

Bonjour,

La plupart des programmeurs utilisent jQuery pour verification des champs des formulaire, et on sait tres bien que le code est visualisable par les utilisateurs, est ce qu'il n'est pas dangereux pour le codeur au niveau de securite de son site?

Merci

[Arnaud F.]

Bonjour,

avec les nouveaux navigateurs tels que Chrome et Firefox (avec Firebug) il est de toute façon "dangereux" de faire du JS pour faire des contrôles sensibles.

Il est possible depuis la console développeur de faire du JS pas à pas, voir la valeur des variables, le cas échéant les modifier et même appeler du code JS perso depuis la console...

En ce qui me concerne, la seule utilisation de JS est pour du "gadget", de l'affichage et un rendu de page dynamique mais en aucun cas pour des contrôles et autres

++

[isitien]

Merci Arnaud F., et avec json, je vous donne un petit exemple qui donne 'valid' et 'invalid', est ce qu'il est securise ou non?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
{"name_check":"valid","email_check":"invalid","name":"isitien","email":null}

[kangun]

juste un petit détail :
selon moi, le mieux est de faire une double vérification.
1) javascript ce qui permet de vérifier les données et de prévenir l'utilisateur sans recharger la page, mais est vulnérable avec les "typiak"... euh non pirates..

2) une vérification coté serveur (php, asp, jsp, ...) qui est donc moins rapide coté client (rechargement de la page) mais est déjà plus complexe à cracker...

de plus si le client s'amuse en effet avec firebug, il peut faire un peu n'importe quoi sur le formulaire

[isitien]

merci kangun, alors je peux faire les 2 (json et php), c'est ca?

[ABCIWEB]

merci kangun, alors je peux faire les 2 (json et php), c'est ca?

Tu commence par faire une vérif standard de ton formulaire avec php seul (sans javascript).

Ensuite tu mets une couche javascript (avec ou sans json) pour le contrôle de tes champs.

Ainsi javascript sera utilisé pour le confort de l'utilisateur et éventuellement éviter des requêtes inutiles. Même en cas de hack javascript le contrôle final sera fait par php donc peut importe qu'on te modifie ton javascript.

[isitien]

j'ai trouve un tuto qui l'explique bien:
http://yensdesign.com/2009/01/how-va...ng-php-jquery/

[ABCIWEB]

Oui ça à l'air pas mal...

Attention toutefois car ce code n'est pas très récent.
Notamment en php je vois dans le code html du formulaire des balises d'ouverture short tag (<? ) qui sont à remplacer par des balises standard (<?php ) sans quoi tu auras des pb avec php5 si ton serveur est configuré avec les recommandations par défaut.

[isitien]

Merci a vous