Discussion :

[Nasky]

Bonjour

Quand l'objet XHR appelle une page PHP pour effectuer une requête, peut-on interdire l'accès direct à cette page PHP ? Car cela peut entrainer des trous de sécurité même s'il y a toujours moyen de minimiser en vérifiant quelques paramètres.
Par exemple, quand une page PHP en inclut une autre et qu'on veut interdire l'accès direct à cette dernière, il suffit de définir une constante dans la première et de vérifier que la constante existe bien dans la seconde.
Mais dans le cas présent avec Ajax, y'a-t-il une astuce dans ce genre ?

Nas'

[Taum]

Kikoo

Non en fait ce n'est pas possible, car contrairement au cas de PHP où tout se passe côté serveur, ici c'est bien ton client qui fait une requête HTTP pour récuperer une page.

Une requête faite en javascript avec l'objet XmlHttpRequest n'a aucune différence d'un point de vue serveur avec une requête classique. Il suffit de regarder ce qui transite sur le réseau (avec Firebug ou un sniffer par exemple) pour s'en convaincre.

Car cela peut entrainer des trous de sécurité

A toi de faire en sorte que ça ne soit pas le cas
Tu as toujours possibilité d'utiliser les sessions ou d'autres mécanismes dans ce genre ...
Cependant je ne vois pas dans l'absolu en quoi Ajax peut introduire une faille de sécurité donc si tu as un exemple plus précis ...

Bon courage (bon stage ? )

[Nasky]

Hey

En fait non, je n'ai pas d'exemples. J'ai dit ça un peu inconsciement, me disant que la page PHP serait visible par tout le monde et que ... mais en fait non, il suffit de la sécuriser comme il faut et ça ira.
Ce sentiment d'insécurité, je l'ai eu aussi à cause du fait que je n'utilise pas de framework pour tout et j'avais l'impression que mes sources disaient trop de choses par rapport aux autres sites. Par exemple, j'affiche clairement la fonction JS à appeler dans mes balises <input> avec le onClick... Alors que ceux qui utilisent un framwork ne le mettent pas, c'est "lié" à l'évènement d'une autre façon.
Mais au final, la page PHP reste visible pour tout le monde...

Merci

Nas'

[E.Bzz]

Bonjour,

Mais au final, la page PHP reste visible pour tout le monde...

Non : c'est le code qu'elle génère qui est accessible

Sinon, pourquoi ne pas utiliser la même méthode : si tu passes un paramètre généré en dynamique par la page appelante, ça fait un obstacle de plus (que l'url présente "en dur" dans le code JS d'Ajax) ...

A+