Discussion :

[Kalas22]

Bonjour à tous !

Je viens vers vous car je développe actuellement une application web, et je rencontre un problème plutôt embêtant.

En effet, dans une même page, j'ai un formulaire d'ajout et la liste des données présentes. Et lorsque j’effectue un ajout, les données sont ajoutés sans problèmes, mais lorsque je recharge la page, les données sont re-envoyées...


Après quelques recherche, la solution serait de séparer le formulaire de la liste, mais je ne veux vraiment pas pour des raisons esthétiques...

Une solution? Merci !

[unapologetic]

D'une façon générale, lorsque tu actualises la page (F5) tu renvoies les données du formulaire. Du coup l'ajout s'effectue deux fois.

[Invité]

Bonjour,
voici une technique pour empêcher le renvoi du formulaire par actualisation (Formulaire et Traitement sur la même page) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php if(session_id()=='') { session_start(); }
// TRAITEMENT SI LE FORM A ETE POSTE
if (isset($_SESSION['random_OK'], $_POST['randomformOK'])
	&& $_POST['randomformOK']==$_SESSION['random_OK']) {
	include('./form-traiter.php'); // traitement...
}
// Protection contre "actualiser la page" ou envoi depuis l'extérieur (vol de formulaire)
unset($_POST);
$_SESSION['random_OK'] = rand(100000,999999); // nombre aléatoire
// -----------------------
// AFFICHAGE DU FORMULAIRE
?>
	<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
		<input type="hidden" name="randomformOK" value="<?php echo $_SESSION['random_OK']; ?>" />
	..........
	</form>

• $_SESSION['random_OK'] contient un nombre aléatoire
• il est mis dans un input hidden du formulaire => il sera alors récupéré via $_POST['randomformOK']

SI on recharge la page (F5):

• $_SESSION['random_OK'] est modifié
• MAIS $_POST['randomformOK'] NON.

Ils sont différents => le traitement ne se fait pas (une 2ème fois).

[Clebit]

Plus simple, tu mets à la fin de ton enregistrement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
header('Location: pageDuFormulaire.php');
exit;

et plus de problème.

[Njörd]

Bonjour Clebit,

La solution de jreaux62 a le double avantage de :
- UN : empêcher que les informations soumises au serveur viennent d'un formulaire différent de celui afficher par ce serveur (tentative de piratage)
- DEUX : empêcher, indirectement, le double envoi des informations par la touche F5.

Cette protection par chiffre aléatoire vise à contrer ce que l'on appelle : faille CSRF. Je t'invite à te documenter dessus c'est très intéressant.

Enjoy

[Clebit]

Effectivement, cela ralentirait une attaque sans la bloquer. Rajouter $_SERVER['HTTP_REFERER'] permettrait de compliquer la tâche.

Mais en mettant le header location, cela évite le message "Renvoyer les données... " et est compatible avec le script.

[Invité]

Bonjour,

..., cela ralentirait une attaque sans la bloquer...

Il ne faut pas tout mélanger.

Il ne s'agit pas de bloquer une attaque, et ça ne remplace pas les vérifications des champs reçus.

Rappel : Formulaire et Traitement sur la même page
Comment penses-tu que header('location...') va réagir alors qu'on est ici sur une seule et même page ?
Une boucle infinie !

Formulaire et Traitement sur la même page permet, en outre, de pouvoir afficher les messages d'erreur ou de validation, ré-afficher le formulaire avec les données pré-remplies...
Le header('location...'), non.

[Clebit]

Bonjour,
Il ne faut pas tout mélanger.

Je mélange rien, je répondais des à Njörd sur les attaques de type Cross-Site Request Forgery.

Rappel : Formulaire et Traitement sur la même page
Comment penses-tu que header('location...') va réagir alors qu'on est ici sur une seule et même page ?
Une boucle infinie !

Je n'ai pas oublié, et m'a solution est fonctionnelle. Tu peux tester l'exemple ci-dessous :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
<?php
session_start();
 
if(isset($_POST['exemple'])){
	//s'il y a un post, on enregistre
 
	//vu que tu veux réafficher la saisie, on met en post
	//perso, je contrôle d'abors en javascript, ce qui permet d'économiser des ressources serveur
	$_SESSION['post'] = $_POST;
 
	//et on redirige SUR LA MEME PAGE
	header("location:exemple.php");
	exit;
}
?>
<html>
<head>
</head>
<body>
	<form action="exemple.php" method="post">
		<input type="input" name="exemple" value="<?php echo isset($_SESSION['post']['exemple']) ? $_SESSION['post']['exemple'] : ''; ?>" />
		<input type="submit" name="Test" />
	</form>
</body> 
</htlm>

[Invité]

Je mélange rien, ...

La preuve que si.


Ta solution est (peut-être) fonctionnelle, mais pas dans les même conditions, puisque tu changes de page (même si tu reviens ENCORE sur la même APRES header(location) !).
Ce qui t'oblige aussi à utiliser des SESSION si on veut ré-afficher des données.

Mais on ne va pas se fâcher : laissons Kalas22 décider.

[Clebit]

J'avoue que je suis un peu perdu, peux-tu m'expliquer en quoi je mélange?

Ensuite, mon exemple reste sur une seule page de code ce qui répond à la demande de Kalas22. La où ma solution fait la différence, c'est qu'il n'y a plus le message du navigateur "Voulez-vous renvoyez les données..." lorsque l'on actualise ou utilise les flèches pages précédentes et suivantes. Ce qui évite d'inquiéter l'utilisateur moyen et est plus ergonomique.

Ensuite, tu utilises également les sessions. Moi je les utilises uniquement pour correspondre à ta demande de les ré afficher dans le formulaire mais elles ne sont pas obligatoires.

[ddaweb]

Je relance un peut en y ajoutant qu'on peut changer de page en y envoyant l'ID de l'enregistrement effectué et en fait refaire une petite query pour relire la valeur réellement enregistrée, sans passer par une session ... mais c'est le choix de chacun, mois je préfère refaire un bon contrôle.
En utilisant un formulaire unique pour tout, ce n'est pas difficile à mettre en oeuvre.

[Zelione]

Très bon truc la coup du nombre aléatoire.
Je me suis rendu compte que je dupliquait sans fin un commentaire en ajustant le css et en actualisant la page !
Je vais donc essayer sur le champ (du formulaire bien sûr)

Merci.