Discussion :

[ph_anrys]

bonjour

j'ai créé un formulaire est ce que ce formulaire est bien sécurisé du côté php

voici mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 
<?php
$nom =htmlentities(trim($_POST['EditNom']));
$prenom =htmlentities(trim($_POST['EditPrenom']));
$societe =htmlentities(trim($_POST['EditSociete']));
$telephone =htmlentities(trim($_POST['EditTelephone']));
$email =htmlentities(trim($_POST['EditEmail']));
$message =htmlentities(trim($_POST['TextareaMessage']));
 
 
echo $nom.'<br>';
echo $prenom.'<br>';
echo $societe.'<br>';
echo $telephone.'<br>';
echo $email.'<br>';
echo $message.'<br>';
 
 $destinataire = "contact@depauw-nettoyage.com" ; 
 $sujet = "Contact" ; 
     if($nom && $prenom && $telephone && $email)
{
 $message = "Contact \n \n
             
			 Nom : $nom \n
			 Prénom : $prenom \n
			 Société : $societe \n
			 Téléphone : $telephone \n
			 Email : $email \n 
			 Message : $message ";
 $entetes = "From: contact@depauw-nettoyage.com " ; 
 mail($destinataire, $sujet, $message, $entetes);
   }
 else
 {
die('Vous n\'avez pas rempli tous les champs obligatoires du formulaire ');
 
 
}
 ?>

A savoir que j'ai une verrification des champs en ajax sur le formulaire

Autre question : dans mon message qui est envoyé dans l'email les mots comme prénom par exemple le é est indiqué avec des lettres et chiffres bizares

comment cela se fait il

merci pour votre aide

[Invité]

Une vérification en ajax ne sert a rien si tu ne la refait pas a la récéption du message :

On peut très bien "forger" (sans passer par un navigateur) une requète http qui va appeler ta page en donnant les bons post.Il faut toujour penser que tu n'as aucune confiance dans ce qui vien de chez le client (meme pas son ip).

Ensuite je comprend pa spourkoi tu met des "<br/>" apres tes informations.

De plus a aucun moment tu ne vérifie la dernière date d'envoi de message, ni meme la taille des donnée par le client, un concurrent pourra très bien spammer par ton formulaire avec une ip bidon , pour te remplir ta boite mail.

Pour finir (mais c'est pas de la sécu) le "die" pour gérer une erreur c'est pas beau : un die gère les exception, pas les erreurs (exception : pas normalement possible dans le programme, erreur : possible dans le programme mais pas accepté).

[ph_anrys]

merci bourqui mais pour tout ce que tu me dis n'aurais tu pas un lien ou cela est expliqué pour faire ce que tu dis

merci

[Invité]

Ben non, mais dis moi ce que tu comprend pas ou mal et je t'éclairerai, comme ça tu apprendra plus.