Discussion :

[F.Salenko]

Bonjour a tous,

Sur StackOverflow (http://stackoverflow.com/questions/1...-limit-in-html) j'ai trouve une demande comment limiter le nombre de charactere dans un input.

Parmi, les reponses, une personne lui a suggere d'utiliser le "maxlength"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="text" id="Textbox" name="Textbox" maxlength="10" />

Mais il a ajoute que c'etait un combat perdu d'avance que de mettre des checks cote client et qu'il valait mieux mettre un script cote serveur.

"But anyway, there is no good solution. You can not adapt to every client's bad HTML implementation, it's an impossible fight to win."

Je ne comprends pas pourquoi en quoi il y a un risque de securite : Aucun script ne s'ecrit en 10 characteres ?

[Bovino]

Ce n'est pas une question qu'un script s'écrive en 10 caractères, c'est surtout que n'importe quel apprenti muni d'un débogueur (donc en pratique d'un navigateur...) peux supprimer cette contrainte en deux clics !

[Bisûnûrs]

Tu as la main sur tout ce qui s'exécute côté client. Le HTML s'affiche côté client, donc tu peux le modifier à souhait (et changer la valeur du maxlength ou simplement le virer par exemple).

n'importe quel apprenti

Visiblement non.

[F.Salenko]

Mais je ne comprends pas :

Si on peut modifier tout ce qui est cote client, cela veut dire que tous mes scripts javascript peuvent aussi subir une modification ?

peut-etre betement, je croyais qu'une page web chargeais ce qu'elle avait sur le serveur et non pas la page affichee que l'on pourrait avoir sur firebug par exempe...

Je sais que c'est pas clair, mais l'info n'est pas ma formation :

en gros si j'ai un formulaire en html avec un javascript qui "protege" l'entree de ce formulaire, cela ne sert a rien ? Je pensais que ce qui etait "lu" par le navigateur etait l'information .html .js .php qui etait sauvegardee sur le serveur et non pas celle que l'on pouvait modifier en live.

[Bovino]

Je comprends pas trop la question... mais une fois que la page est chargée, c'est l'environnement du navigateur (donc de l'utilisateur) qui la gère et l'utilisateur peut modifier tout ce qu'il veut, y compris les types de champs et leurs valeurs.
Toutes les vérifications et autres agréments côté client (donc en JavaScript) ne sont là que pour aider les utilisateurs bien intentionnés, les autres pourront facilement contourner les limitations imposées par le développeur. C'est pour cela que toutes les vérifications de validité doivent être faites côté serveur !

[Torgar]

Le PHP est un langage serveur et est donc interprété par ce dernier. Il n'est pas exécuté par le navigateur qui est le client. Le JavaScript lui, s'exécute côté client donc par le navigateur. Et si c'est le navigateur qui l'exécute, tu peux donc le modifier (notamment avec Firebug). Le CSS c'est pareil que pour le JavaScript, c'est le navigateur qui l’interprète.

Le PHP permet de générer, construire, une page Web HTML (également interprété par le navigateur) qui utilise le CSS pour le côté visuel et le JavaScript pour le côté interactivité.

En partant de ce postulat, il est évident que tout ce qui touche HTML, CSS et JavaScript, tout peut être modifié par le client. Seul le PHP à la peau sauve du fait qu'il s'exécute sur le serveur pour lequel le navigateur n'a pas accès, bien évidemment.

Est-ce plus clair ?

[NoSmoking]

Bonjour,
rien à ajouter mais j'insisterais quand même sur

C'est pour cela que toutes les vérifications de validité doivent être faites côté serveur !