Discussion :

[SpaceFrog]

Pour valider une inscription je dois envoyer des mails.
Dans le mail figurera un lien vers la page PHP de validation de l'inscription.
Lien qui comporte des paramètres indispensables à la validation.

Par souci de sécurité, je souhaiterais faire un lien en POST plutot que de concaténér un lien GET.

Auriez vous des idées sur la question ?
insérer un form caché dans le mail ? et le valider par un lien ?
Est-ce fiable ? Les gestionnaires de messagerie le supportent-ils ? Javascript pouvant être désactivé, quelle niveau de sécurité peut on espérer autrement ?

[franculo_caoulene]

Salut,

Un formulaire caché combiné avec un button ayant pour style celui du lien désiré?

[SpaceFrog]

Merci Franculo mais ...
la question ne porte pas sur le bouton ni sur le style du lien ...
je peux tout aussi bien styler un input type submit pour le deguiser en lien ...

la question porte sur la methode qui permet d'envoyer des données en post depuis un email ouvert ...

la question relève plutot de php en fait à la reflexion...

il me faut faire envoyer à php mailer un email avec un lien qui permette de faire parvenir des données en post à une page php ...

je bascule sur php ...

[batataw]

Si j'ai bien compris le lien seras recu par mail. En fait tu ne peux pas utiliser de method POST car chaque server mail et chaque client mail a ses propres regles en ce qui concerne la gestion du HTML...La seul method fiable reste le GET.
Tu pourrais peut-etre encoder tes parametres.

[SpaceFrog]

Je me demandasi aussi pourquoi dans tous les spams que je recevais le lien de désinscription était en get ...

Bon hé bein je vais m'orienter vers du Get chiffré alors ...

As tu une methode à me consieller ?

[kaymak]

Faire un get ou un post, je dirais c'est du pareil au même dans ton cas.
Sauf qu'avec un POST dans un mail, tu semble te galérer (j'ai pas souvenir d'en avoir jamais fait)...

En fait amha, au lieu d'envoyer sa en POST et me dire "Ouééé c'est secure" Là où sa ne l'est pas.
Je hasherais les données que j'envoi depuis le mail afin de rendre plus compliqué la génération de données falsifiés.
Et par la même la compréhension de l'application.
J'implémenterais des mécanismes de timeout ect..

Parce que franchement quand tu veux péter une page web, qu'elles soient en POST ou en GET sa strictement change rien de rien de rien de rien....

POST n'est pas plus secure, c'est juste plus compliqué à aborder et comprendre pour les quiddam des scripts kiddies.

bye

[SpaceFrog]

ce n'est pas sur le plan sécurité de peter la page ou la base ...

c'est juste pour empecher la gruge ..

je ne voudrais pas qu'un client s'amuse à conacténéer son lien pour modifier de façon frauduleuse son compte ...

Je parlais plutot d'un système qui permettrait d'obsurcir le lien get

genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mapage.php?do=typeaction&params=cahinedeparamschiffrée