Discussion :

[JPBruneau]

Bonjour,
Réalisant des vidéos de formation gratuites pour la réalisation de site professionnels,
j'ai réalisé une vidéo qui n'est pas encore en ligne, en effet cette vidéo couvre TOUTE la sécurité (coté utilisateur et coté serveur..
de façon succincte mais 20 minutes tout de même

Je bloque sur la protection des PHP destinés a être appelés par le HTML et son javascript, du visiteur via XMLHttpRequest();

En effet nous n'avons aucun lien avec le login du html qui l'appel ni ses sessions ,encore moins ses cookies. Bref j'ai du mal à trouver une solution fiable !
Une idée ?
Merci d'avance .

[Séb.]

Je ne connais pas XmlHttpRequest, seulement fetch()
N'est-ce pas xhr.withCredentials qui permettrait de transmettre les cookies de session PHP ?

https://developer.mozilla.org/fr/doc...ithCredentials

[JPBruneau]

Non on parle d'AJAX donc coté visiteur il n'y a dans le navigateur qu'un html et le Javascript qui va appeler des infos à un PHP
qui ne voit pas le visiteur et qui ne peux répondre que par un ECHO .
mais la requête que fait le javascript envois autant de POST que nécessaire au PHP-AJAX par exemple le login du visiteur !
et une variable cryptée si tu veux, qui sera contrôlée par le PHP-AJAX
Donc ma question est :
comment empêcher un hackeur, de se faire un mini HTML avec un mini javascript
qui demanderait la liste des comptes en banque par exemple et récupérerait l'ECHO avec sa liste .

Le PHP qui a envoyé le html au visiteur à pu lire ses cookies bien sur mais le PHP appelé en AJAX non bien sur !
d'autre part quelque soit la procédure de la requête Ajax tout le monde sais lire ce que Javascript envoies comme requête au PHP-AJAX

je ne sais si tu vois ce dont je parles ?
Merci en tout cas de ta recherche et le lien est intéressant .

[mathieu]

comment empêcher un hackeur, de se faire un mini HTML avec un mini javascript
qui demanderait la liste des comptes en banque par exemple et récupérerait l'ECHO avec sa liste .

dans ce cas c'est le serveur qui va vérifier que l'utilisateur est bien connecté et qui enverra ou non ces informations.

[Séb.]

Le PHP qui a envoyé le html au visiteur à pu lire ses cookies bien sur mais le PHP appelé en AJAX non bien sur !

Pourquoi "non bien sûr" ? A priori le client XHR peut envoyer le cookie de session PHP, à paramétrer avec withCredentials. Tu as essayé ?
Ainsi ton PHP récupère la session en cours, ce qui te permet de déterminer côté serveur si l'utilisateur est authentifié ou non.

[JPBruneau]

Merci à vous deux, je vais approfondir ces points que je maîtrises moins bien.
Merci encore pour le lien Seb., Je n'aurais pas du parler de login car ma faille de sécurité
peut concerner un simple visiteur .. par exemple si vous allez ici
https://les-astuces-du-web.com/0-web...la_martine.php
Et clic droit --> inspecter de quoi faire une autre requête sur le PHP appelé ?