Discussion :

[LeHibou2]

Bonjour à tous,

Je me demande si on peut interdire l'interprétation d'un code initialement en get, mais qui pourrait servir à des petits malins qui le retourneraient en post.

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
$.getJSON('mapage.html',function(recup){
 
			      $.each(recup, function(index, entry){
 
					var html = '<div class="moman">';
					html += '<table width="100%"><tr><th class="fils">Un</th> <th class="fils">Deux</th></tr>';
					html += '<h2> Date: ' + entry['date'] + '</h2>';
					html += '<tr><td class="fils">' + entry['pierre'] + '</td><td class="fils">' + entry['verre'] + '</table>';				
 
					$('#containerjson').append(html);
				});						   
			});

Et ma page html contenant le json (car c'est une boucle for qui introduit les résultats en php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
[
{
 
    "date" : "04/12/2012",
 
	"pierre" : "zirconium",
	"verre" : "fin"
}
]

Ma question est donc, comment éviter que quelqu'un n'introduise des données en inversant le get en post ?

Merci à vous,

A bientôt,

LeHibou

[SpaceFrog]

Heu coté serveur ...
tu recupères le get pas le post ...

[LeHibou2]

Oui, mais si je change le code javascript en bas de page avec firebug, je peux modifier le comportement !

Me trompe-je ?

[Bovino]

Je comprends rien à ta question...

Déjà, dans ton code, il n'y a ni GET ni POST, juste un getJSON() qui pointe vers un fichier HTML ()

Ensuite, tu peux envoyer tous les paramètres POST que tu veux, si le code côté serveur ne prévoit pas de les utiliser, ils ne serviront à rien !

Il faudrait que tu précises un peu ta question parce que là, c'est difficile de comprendre quel est le [non]problème que tu cherches à résoudre...

[SpaceFrog]

si tu envoies au serveur du post ...
alors que ton serveur n'attend que du get

je ne vois pas en quoi le fait de modifier get en post peut nuire ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(!isset($_GET['variable']))

[LeHibou2]

Je pense que je me suis enflammé pour rien alors, c'est pour ça que mon problème semble incompréhensible.

Je sais que ce n'est pas top de mettre du json dans du html, mais sinon la boucle ne peut pas fonctionner car elle est réécrite tel quel dans le fichier .json sans être exécutée bien sûr.

Il y a un danger particulier ? L'extension ne change rien, si ?

Par ailleurs, le getjson semble faire ce qu'on attend de lui, mais je vois partout qu'il faut utiliser parsejson pour sécuriser les infos.

Or, si on ne peut rien poster et que le texte rapatrié est du texte, il n'y a aucun ennui à prévoir !

Le but : aller chercher des info au format json que la boucle aura préparée dans le fichier html et les afficher. Afin de gagner en bande passante.

J'ai bon finalement ?

[SpaceFrog]

jquery gère la conversion du texte en json ...

pour la sécurité, je ne vois pas de souci entre le get et le post.
A toi coté serveur de tester les données reçues qui sont au format texte ...
de ne pas insérer de données brutes dans des string mysql coté serveur, ne pas faire d'eval en javascript ...

Je ne comprend pas tes craintes ...