Discussion :

[aityahia]

bonsoir,

je suis sur un projet tous Ajax coté client (extJS) et PHP coté serveur, tous fonctionne harmonieusement bien.

maintenant j'aimerais attaquer l'aspect sécurité de mon projet pour ce faite je mon serveur devra être capable de rejeter toute requête non identifié(qui ne parviennent pas de mes formulaires), Quelle sont les techniques que vous me recommandé.

j'ai vu qu'on peut utiliser la variables super globale $_SERVER mais d'après mes lecture c'est pas très fiable.

[jnore]

Tester par exemple l'origine de la requete avec $_SERVER['HTTP_REFERER']

http://fr.php.net/manual/fr/reserved...les.server.php

Concernant la fiabilité, difficile à dire. Personnellement, je l'utilise.
Certainement existe t-il un moyen de le contourner.
Bien utiliser les sessions pour que seule une personne connectée puisse poster.

Après le sujet est vaste...

[mon_nom_est_personne]

travailler avec les reffer ne change rien car tu peux push le reffer dans une requete http.
Je dirais que le mieux c'est de travailler avec les session est les cookie.
ton utilisateur arrive sur ton appli et tu lui creer une session avec un token et tu lui envois ce token dans un cookie.
a chaque requete ajax, tu met dans ta requete la valeur du token stoquer dans le cookie.
Apres tu verifie si le token envoyer existe dans ta liste de session, si oui la requete est executer sinon fait rien..

PS: les $_SESSION marche pas pour cette technique va falloir l'ecrire toi meme

[aityahia]

Merci pour vos réponses

'HTTP_REFERER'
L'adresse de la page (si elle existe) qui a conduit le client à la page courante. Cette valeur est affectée par le client, et tous les clients ne le font pas. Certains navigateurs permettent même de modifier la valeur de HTTP_REFERER, sous forme de fonctionnalité. En bref, ce n'est pas une valeur de confiance.

j'ai vais essaye de faire ça avec les session.

a+