Discussion :

[Cheorches]

Comme beaucoup d'entre vous, je trouve que la plus grosse partie de la conception d'un site est de gérer les erreurs qui peuvent être commises par les utilisateurs.

Ceci est particulièrement vrai avec les formulaires.

Depuis quelques jours je me demande si il est possible qu'un utilisateur modifie les valeurs "imposés" (checkbox, hidden, etc...).

Par exemple dans cette checkbox je prévois que la valeur envoyée soit "ponctuelle" si elle est cochée.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<input id="ponctuelle" type="checkbox" name="ponctuelle" value="ponctuelle">

Mais est ce qu'un utilisateur mal intentionné pourrait modifier le value par autre chose ?

(Bien sur j’essaie de ne pas me fier à ses valeurs dans le traitement qui suit, mais des fois j'utilise de champs "hidden" avec des userid par exemple et là ca pourrait être lus dangereux).

[Doksuri]

pars du principe que tout ce que tu recois de l'utilisateur est faux !

tu ne dois faire aucune verifications cote client.
=> biensur, tu peux utiliser du js pour eviter que l'utilisateur ne fasse n'importe quoi...

mais quoi qu'il en soit, tu dois imperativement faire ta verification finale cote serveur

et pour repondre a ta question, un utilisateur peut tout modifier

[Cheorches]

Pour la sécurité j’essaie d'être parano.

Je ne me fie jamais a l'utilisateur, et je gère toutes les vérifs coté serveur. A mon avis (c'est perso) JS doit être utilisé pour apporter du confort à l'utilisateur. Je ne confie pas la sécurité du site à un langage coté client.

J'ai toujours fait en sorte de vérifier les données saisies sans savoir si l'utilisateur pouvais les modifier ou pas.
La je viens de faire un test tout bète. Juste avec l'inspecteur de code de Firefox, on peut modifier n'importe quelle value d'un formulaire et l'envoyer (le site sur lequel je boss à bien géré ces erreurs!).