Discussion :

[Darkyl]

Bonjour,

Je suis en train de réaliser une bibliothèque de composants javascripts.
Un volet de ma bibliothèque concernant l'utilisation de ces composants pour faire des formulaires.

Evidemment, je fais toutes les vérifications nécessaires en javascript avant de valider l'envoi du formulaire mais maintenant je souhaiterai décharger les futurs développeurs de la partie vérification php.

Je m'explique :
Si le formulaire a été validé en javascript, je crée un fichier php sur le serveur où j'enregistre à la volée du code php (correspondant à chaque composant du formulaire) puis lors du submit, j'appel cette page php crée dynamiquement.


Ainsi chaque composant javascript aura une propriété qui contiendra le code php à enregistrer dans le fichier php créer aprés validation javascript et le développeur n'a plus à créer lui-même de page php pour valider sur serveur les données transmises par l'utilisateur.

Je sais pas si je me fais comprendre...

J'ai deux questions de sécurité :

La première, est-ce que créer un fichier php (et donc donner les droits de création de fichier à ma page formulaire) ne représente pas un futur risque de sécurité?

Secondo, concernant les petits malins qui trifouille le javascript, est-ce que ma solution de créer dynamiquement la page php de validation (par appel javascript) ne peut pas être contourné et que l'utilisateur accède quand même à la page de traitement des données?

bref, c'est assez compliqué ce que j'essai de faire, mais cela changera la vie des développeurs pour intégrer des formulaires intelligents et réactifs.

[Bovino]

Aucune validation en JavaScript ne peut être considérée comme suffisante. Donc ton idée est à jeter à la poubelle.

La validation JavaScript n'a qu'un seul but : permettre aux utilisateurs de bonne foi d'être informés au plus tôt que les valeurs saisies ne sont pas correctes. Elle ne peut en aucun cas prendre en considération les actions des utilisateurs malveillants !

[Darkyl]

Heu je me suis peut-être mal exprimé, mais j'ai bien dit:

Evidemment, je fais toutes les vérifications nécessaires en javascript avant de valider l'envoi du formulaire mais maintenant je souhaiterai décharger les futurs développeurs de la partie vérification php.

Je m'explique :
Si le formulaire a été validé en javascript, je crée un fichier php sur le serveur où j'enregistre à la volée du code php (correspondant à la vérification php de chaque composant du formulaire) puis lors du submit, j'appel cette page php crée dynamiquement.

Ce qui sous-entends évidemment que je fais une vérification javascript PUIS une vérification php (par le code php créer à la volée) avant l'envoi des données à la page php de traitement...

Mon astuce vient juste du fait que c'est javascript qui créer et lance le code php de vérification...

[Invité]

Ouais m'enfin si j'ai bien pigé ton idée, à la soumission de ton formulaire tu envoies les données + le code PHP qui va les valider. Donc la validation des données clientes vient du côté client. C'est absolument pas fiable !

[Darkyl]

Donc la validation des données clientes vient du côté client

c'est ça... ou plutôt que la page php de validation est créer au fur et à mesure que les composants sont déclarés, puis lors du submit, elle est appelé. Et celle-ci appelle, si les données sont bonnes, la page php de traitement des données.

C'est absolument pas fiable !

: C'est justement ma question. Donc ok.

Ny connaissant rien à la sécurité et au moyen de détourner javascript, je sais bien que la validation javascript n'est pas suffisante, aussi j'avais pensé à cela afin que le développeur n'ai pas à coder une page php de validation.

Mais question bête, sur quel système repose les librairies de formulaires? Je sais qu'il y a JQUERY qui fait çela. C'est au développeur de coder sa page php de validation pour chaque formulaire créer avec cette librairie?

[Invité]

C'est ça. En fait, tout ce que l'utilisateur peut toucher DOIT être considéré comme non fiable.
Les librairies JS en font partie. On peut tout faire côté client, tout changer. Donc il ne faut avoir confiance qu'en les données qui ont passé une vérification côté serveur, grâce à des instructions qui ne peuvent pas être altérées par le client.

Pour alléger la tache au développeur, tu peux faire des validations automatiques, une fonction qui va valider tout formulaire à partir d'une configuration qui va préciser les contraintes de chaque entrée. Tu peux t'inspirer des techniques utilisées par les frameworks PHP existants.

[Darkyl]

ok merci beaucoup.

Donc je dois développer une annexe à ma librairie javascript, qui sera une petite librairie php...

O boulot.

Merci encore.