Discussion :

[fafa1510]

Bonjour,

Je suis confronté à un problème assez important la sécurisation de mes formulaires.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
<?
 
echo'
<form action="index.php?page=fiche" method="post" class="form">
<select name="liste1">';
 
for ($i=1;$i<11;$i++) {
echo '<option value="texte'.$i.'">texte'.$i.'</option>';
}
 
echo'
</select>
<input type="hidden" name="action" value="edit">
<input type="submit" value="Modifier"><br><br>
</form>';

mon problème est que lorsque que je regarde la source toutes les options sont listées en HTML et qu'à partir d'un serveur local j'arrive à modifier les données qui sont dans mes options

J'aimerais pouvoir sécurisé cela en faisant un test du 'lieu d'émission' de mon formulaire mais une fois celui ci envoyé il est exécuté sur le serveur donc impossible de vérifié la source

[ska_root]

comprends pas tout là...
Tu ne pourras jamais être totalement sûr des données envoyées par ton formulaire, c'est pourquoi tout développeur se doit de vérifier l'intégrité de celles-ci.
le fait de vérifier la provenance du formulaire ne t'aidera en tout cas pas à résoudre ce problème.

je vois que tu envoies des valeurs numériques (<option value="1">), tu peux au moins tester le fait que cela soit bien le cas...
la fonction is_numeric() t-y aidera.
et si c'est juste pour ce formulaire en question, tu peux aussi vérifier qu'elle soient effectivement comprises entre 1 et 11

voilà, je ne sais pas si ça répond à ta question mais je l'espère..
;-)

[fafa1510]

quelques heures plus tard...

en fait j'ai mis mes variables dans une variable globale donc voici comment je procède ensuite

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
$return = "";
	for ($i=0;$i<count($GLOBALS['race']);$i++) { 
		if($_POST['race'] != $GLOBALS['race'][$i]) { $return .= 0; }
		else { $return .= 1; }
	}
 
	if(!ereg("^[0]+$", $return)) { $return = 1; }
	else { $return = 0; }
 
	if ($return != 1) { echo 'Erreur'; }
 
	else { echo 'OK'; }

Vous pouvez aussi refaire la même chose si vos option se trouve dans une base de donnée ou même simplement si elles sont uniques il vous suffit de faire un array() avec vos données lors de la récupération et l'enregistrement du formulaire

[ska_root]

heuuu je croyais que tu n'avais que des valeurs comprise entre 1 et 11 vu le select de ton formulaire, dans ce cas un simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$valeur=(!isset($_POST['liste1']))?(''):($_POST['liste1']);
$erreur=($valeur <= 11 && $valeur > 0 )?"OK":"Erreur";
echo $erreur;

suffirait...