Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
formulaire en c# et la sécurité
Bonjour,
J’ai un formulaire (c#) et dedans il y a un menu déroulant qui affiche les prix.
Je me demande si quelqu'un qui consulte mon formulaire par son navigateur pourrait changer les valeurs de ce menu
Ensuite si cette personne pourrait soumettre la nouvelle valeur vers notre serveur à partir de son navigateur?
Si oui, comment peut-on empêcher cette manipulation?
Merci
Il peut changer en local, vu que les données sont dans le mémoire de son PC. Mais de ton côté, tu n'envoie les prix que pour information. Si l'utilisateur achète quelque chose, tu reçois l'id de l'objet et la quantité. Et tu vas chercher le prix pour tes calculs dans ta db. Pas dans le formulaire du client.
Tout ça pour dire que, a moins que tu ais un module d'administration web et que quelqu'un le hack, tu ne risques rien.
Merci GuruuMeditation,
Comme tu dis...
Je me suis rendu compte, en comparant entre les informations de ma db et sa confirmation du courriel, qu’un client a changé l'id et le prix...
Du coup, il n'a rien reçu et on a trouvé inconfirmité de les donnés de bd...
Cela veut dire que l'on a perdu beaucoup de temps pour rien...
Alors, j'aimerais savoir comment peut-on récupérer les données dans le mémoire ? Et sûrement il y a un moyen de l'empêcher en c#...
Par exemple, avec jeton ( dans un formulaire de PHP... $_SESSION['jtn_token_time'])
Juste pour comprendre : le client entre le prix lui-même ? Tu parles de client qui a changé le prix dans un email.
Bonjour,
Je sais ce n'est très clair...
1re étape - Il y a un menu déroulant où le client choisit son prix...
Il clique sur un bouton
2e étape - Il arrive sur une page de confirmation... et il clique sur le bouton «*Valider*»
3e étape - l’application prend la valeur, envoie au serveur de paiement, si le compte de client bon, le serveur envoie une réponse positive.
l'application enregistre les données dans la db, envoie les informations, par courriel, au client, etc.
J'ai impression qu'une fois (sur 2000), le client a pu changer le prix et le nom du produit à l'étape 2...
Tu utilises une web form à l'étape 2 ? Si oui, tu peux changer facilement dans le POST.
Voir ici : http://www.codethinked.com/aspnet-mv...efore-you-bind
Une solution simple (si tu n'a pas trop de données), c'est que le prix et le produit soit un couple. Chaque combinaison produit-prix à un ID. Comme ça si la personne change l'ID, il se retrouve avec un autre produit, mais avec le prix correspondant à ce produit et pas à l'ancien.
Répondre avec citation
Partager