Discussion :

[javatwister]

Eh oui, il est bon de vérifier toutes les zones de saisie libre!

[trx337]

cette fois ci je sais le faire mais il a quand même évité de cocher la case mr ou mme et là ça me trouble

[NoSmoking]

Une discussion = une question Poser plusieurs questions dans un seul et même fil nuit grandement à la qualité du forum : notamment, lors d'une recherche, tout le contenu du fil n'est pas indiqué dans le titre, elle devient donc plus ardue. Notre but est de maintenir une base de connaissances facile à exploiter par tous les visiteurs, utilisable par tous. Vous avez pu bénéficier de ce forum en posant vos questions, laissez la possibilité aux suivants de bénéficier des réponses en leur offrant un sujet moins dispersé.

Merci d'en tenir compte et d'ouvrir une nouvelle discussion.

[SpaceFrog]

La vérification des saisies d'un formulaire coté client est une passoire, elle évite juste d'avoir à faire des aller retours entre le serveur et le client.
On peut quoi qu'il arrive contourner ces vérifications soit en console, soit avec des addons de "tamperisation".
C'est juste de l'ergonomique. Il faut TOUJOURS revérifier coté serveur les données reçues avant de les exploiter !!!

[trx337]

désolé mais là j'ai rien compris ;si vous pouviez être plus clair ?

[SpaceFrog]

Ce n'est pas parce que tu vérifie les données saisies dans le formulaire avant envoi (classique) que ce sont ces données qui vont arriver sur le serveur.

Sur n'importe quel formulaire en ligne il est possible ce shunter les vérifications Javascript (coté client) ou les modifier après la vérification js juste avant l'envoi au serveur.
Donc rien ne garantit malgré le vérification javascript que coté serveur tu récupéreras des données "saines".

Il ne faut jamais faire confiance aux données clients et toujours les vérifier coté serveur.

[trx337]

voilà merci je comprends et d'autres personnes ont dit la même chose . Maintenant en pratique je ne sais pas le faire car pour l'instant j'ai mis une fonction dans le bouton d'envoi ;

ou dois je faire un nouveau script et est le même que précédemment ?

[SpaceFrog]

Quand tu reçois les données sur le serveur il faut les revérifier ...

[trx337]

ok j'ai trouvé :

https://apical.xyz/fiches/la_validat...rveur_avec_PHP

[SpaceFrog]

Oui enfin c'est juste en php vérifier ce que tu reçois dans ton $_GET ou $_POST, afin de t'assurer que l'utilisateur a bien fourni les données aux bons formats et aussi éviter des injections.

[ABCIWEB]

Autrement dit, tu as commencé à l'envers. On commence normalement par faire les contrôles côté serveur puis éventuellement côté client en javascript. Les contrôles javascript ne sont que complémentaires et facultatifs pour éviter des aller-retour serveur pour les utilisateurs ayant involontairement faits des erreurs, mais ils n'arrêtent pas les utilisateurs malveillants. Seuls les contrôles côté serveur sont en mesure d'éviter les scripts malveillants. Donc il s'agit de faire en php au minimum les mêmes contrôles que tu fais en javascript pour valider ton formulaire.

Par exemple le code javascript :

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
var regex = /http|www|href|src|open/i;
if(document.form.messagelivre.value.search(regex))
{
   //le champ 'messagelivre' contient des chaines de caractères interdites
}

s'écrit de la manière suivante en php (à supposé que tu transmets ton formulaire en employant la méthode post)

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$regex = '/http|www|href|src|open/i';
if(preg_match($regex, $_POST['messagelivre']))
{
    //le champ 'messagelivre' contient des chaines de caractères interdites
}

Mais bon on sort du domaine de javascript et pour aller plus loin il faudrait ouvrir un nouveau sujet dans le forum php. N'hésites pas à le faire, car encore une fois c'est du côté serveur que se contrôle réellement la validité des données client.

[trx337]

merci pour le code , je vais aller plus vite pour finir ce petit travail.

en fin de compte je me suis amusé à me dire que les traficouillateurs appelé si j'ai bon spameurs ? sont utiles à la société et permettent d'apprendre et de se perfectionner en javascript et php

la morale de cette histoire : qui est le plus utile dans la société , le gendarme ou le voleur ?

[ABCIWEB]

Oui enfin les voleurs n'ont pas fini de te voler si tu ne suis pas au minimum les conseils qu'on te donnes. De nombreuses personnes t'ont déjà dit que la sécurité se faisait côté serveur, et tu n'as ouvert aucun sujet dans le forum php pour demander des conseils ou soumettre du code. Si tu n'étais pas en mesure de faire le petit exemple que j'ai donné ci-dessus, il est possible aussi que tu n'aies pas compris ce que SpaceFrog voulait dire en parlant d'injections, etc. Es-tu certain que tu n'as rien oublié ?

Ne réponds pas ici si tu as des doutes, mais ouvres un sujet dans le forum Php. NoSmoking a déjà dit qu'il ne fallait pas mélanger les sujets. Si tu trouves cette seule contrainte trop importante, les voleurs auraient bien tort de se priver d'exploiter le manque de sérieux des personnes qui s'exposent sans prendre le minimum de précautions qu'elles pourraient avoir gratuitement

[trx337]

merci à tous pour vos conseils