Discussion :

[andaman]

Bonjour,

J'ai un tableau HTML qui contient une liste de pays. Chaque ligne possède un lien afin d'éditer celui choisi comme ceci:

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<a class="edit_country grey" href="edit-country/68577" title="Edit"><span class="icon-pencil"></span></a>

Je fais une réécriture via HTACCESS comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

RewriteRule ^([a-z\-]+)/([0-9]+)$ index.php?section=$1&country=$2

Jusque là, tout va bien, mais si la personne change la valeur numérique du GET, soit il tombe sur un pays existant, soit il n'y a pas d'enregistrement correspondant et c'est pas très propre. J'ai essayé avec des sessions mais je n'y arrive pas.

Voici un extrait de traitement de mes données.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
if($_SERVER['HTTP_REFERER'] != $address_back.'country-list'){
    $_SESSION['access_denied'] = true;
    header('Location: '.$address_back.'country-list');
}else
    if($row_check_get -> m_get == 'edit' && isset($_GET['country']) && is_numeric($_GET['country'])){
    $sql_country = make_select('*', 'country', "c_id_group_country=".$_GET['country']."");
    $row_country = $sql_country -> fetch_object();
}else{
    $_SESSION['error_country'] == true;
    header('Location: '.$address_back.'country-list');
}

En fait ce que je désire c'est que la valeur passée en GET ne soit pas modifiable. Si elle est modifiée, je renvoie sur la liste des pays.

Quelqu'un pourrait m'aider?

Merci d'avance,
David

[rawsrc]

Salut,

les sessions n'ont rien à voir avec ton problème.

Pour être certain de l'existence du pays :
tu dois juste récupérer la liste des pays (table ou fichier) sous forme de tableau et t'assurer que l'id existe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$id = (isset($_GET['country']) ? intval($_GET['country']) : false;
if (($id === false) || ( ! isset($pays[$id]))
{
    // id invalide
}
else
{
    // édition du pays
}

[andaman]

Merci pour la solution. Mais ce qui veux dire que l'utilsateur pourra toujours modifier la valeur en GET si il la connait. Et cela je ne désire pas.

Merci de vos réponses

[Séb.]

Mais ce qui veux dire que l'utilsateur pourra toujours modifier la valeur en GET si il la connait. Et cela je ne désire pas.

L'utilisateur pourra toujours soumettre la requête HTTP GET qu'il souhaite. A toi de traiter la requête comme tu le souhaites.
Personnellement j'afficherais une page d'erreur ("Le pays a édité n'existe pas").

[rawsrc]

J'ai toujours du mal à comprendre. Quand tu dis

En fait ce que je désire c'est que la valeur passée en GET ne soit pas modifiable. Si elle est modifiée, je renvoie sur la liste des pays.

C'est pas possible dans la mesure où l'url peut être librement modifiée par le client, tu n'as absolument aucun contrôle dessus.

Le seul moyen c'est crypter les id.
Par exemple : tu mets dans ta page un lien pour modifier l'intitulé du pays id=45,
pour être sûr qu'un petit malin n'a pas tapé au hasard un autre numéro, tu peux monter tes url en faisant en sorte que id=45 correspondent à (par exemple) id=a47drg58h6321.

De ton côté à la réception, tu décryptes le "a47drg58h6321" de manière à bien récupérer id=45. Si le décryptage échoue, tu auras la certitude que l'url a été tapée directement ou modifiée manuellement.