Discussion :

[skwi6]

Bonjour,

Je me pose la question suivante :
Comment être sur que les données envoyés par le client ne sont pas modifiées ?


Par exemple, j'ai un bouton qui a une fonction sur le onclick nommé Delete et qui prend en paramètre un id.

La fonction Delete est toute simple, elle fait une requête ajax et envoie l'id passé en paramètre vers le serveur qui ce dernier supprime dans une base l'id envoyé.

Comment être sur qu'un utilisateur n'a pas modifié cet id avant l'envoi au serveur (avec un débugger,inspection d’élément,modification du javascript,..) ?

Un autre exemple est le site Betclic qui utilise pas mal l'Ajax et notamment lors de l'envoi d'un pari.
Imaginons que je fais un pari d' 1 Euro et qu'avant l'envoi je trouve la donnée javascript qui contient cette info et que je la modifie (je la remplace par 3 ).
Au final je pourrais avoir mon compte débité de 1€ alors que j'ai joué 3€.(bien que sur leur serveur mon compte sera réellement débité de 3€).

[Bovino]

Les seules vérifications valables sont celles faites sur le serveur !