Discussion :

[nims]

Bonjour à tous !

Je cherche à passer des paramètres (à la manière de POST et GET) mais que ceci soit invisible (comme POST) et sécurisé.

En d'autres termes, j'aimerais les passer sans qu'ils soient interceptable et modifiable.

Qu'elle est la meilleure solution pour que l'application soit le plus possible sécurisée ?

J'ai pensé aux variables de session comme les flash...
Vous en pensez quoi de tout ca :p

Merci d'avance pour votre aide !!

[joff_symfony]

Ouai les variables session me semble une bonne solution mais si ton utilisateur reste inactif un moment sur ton site il va perdre les paramètres de session donc ça dépend vraiment de ton utilisation.
En tout cas pour infos pour les variables de session utilise la classe User

[nims]

En fait j'en ai besoin pour passer un paramètre de la view à l'action suivante.

Tu pense aux attribute ?? Je vois pas trop comment les intégrer...

En fait j'ai plusieurs liens sur ma page. Chaque lien a un paramètre différents... Je vais pas créer un attribute pour chaque lien...

[belgacem.tlili]

En fait j'en ai besoin pour passer un paramètre de la view à l'action suivante.

Tu pense aux attribute ?? Je vois pas trop comment les intégrer...

En fait j'ai plusieurs liens sur ma page. Chaque lien a un paramètre différents... Je vais pas créer un attribute pour chaque lien...

vous pouvez utiliser $request avec des input de type hidden

[nims]

Ca veut dire que je dois faire un formulaire...
Ca me plaisait pas trop ca...

Et puis je pense pas que ça aille...

Sur ma page je vais avoir quelque chose comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<a href="mapage.php?var=1">lien 1</a>
<a href="mapage.php?var=2">lien 2</a>
<a href="mapage.php?var=3">lien 3</a>
<a href="mapage.php?var=4">lien 4</a>

en cliquant sur un lien je vais sur la même page. Mais je récupère la valeur de la variable...
En mettant des hidden ça changera rien... ou alors il faut un formulaire pour chaque lien...

??

[belgacem.tlili]

Bonjour à tous !

.... des paramètres (à la manière de POST et GET) mais que ceci soit invisible (comme POST) et sécurisé.

En d'autres termes, j'aimerais les passer sans qu'ils soient interceptable et modifiable.

pour avoir des choses comme vous avez demander ici il faut utiliser soit la session ou les input hidden

<a href="mapage.php?var=1">lien 1</a>

ici tout est claire pour l'utilisateur !!!

[nims]

oui je sais bien mais c'était pour expliquer que je dois donc avoir un formulaire par lien car les input hidden doivent avoir le même nom... non??

et les champs hidden sont visibles dans le code source !!

[Michel Rotta]

Ça ne marchera pas avec des champs cachés. Surtout si les utilisateurs doivent pouvoir les remplir.

Je suppose que tu veux être sur que des paramètres transmis par l'utilisateur ne puissent être interceptés. Dans ce cas la solution la plus simple et l'utilisation du https.

Autre possibilité, tu veux que le module A passe des paramètres au module B, indépendamment de la session et en passant par la view tout en étant assuré que l'utilisateur ne puissent les intercepter ni les interpréter... Ceci me semble un brin compliqué mais bon. La solution que j'utiliserais serait une clef, style md5 passée dans un champ caché, qui sert d'index à une donnée dans une base en local. L'utilisateur peut voir passer une clef unique aléatoire, mais est incapable de prédire la suivante ni de connaître les données qui n'ont jamais quitté le serveur.

[nims]

Je suis d'accord avec toi... J'avais pensé à mettre une clé en paramètre supplémentaire pour "contrôler" l'exactitude des paramètres.

En fait l'utilisateur n'interagit pas avec les valeurs c'est juste une succession de liens avec un paramètre qui change et c'est ce paramètre que je voulais sécuriser...
C'est pour ça que si je place un input hidden il faudra un structure (form + input hidden) pour CHAQUE liens...

[Michel Rotta]

Mais pourquoi diable les données ne peuvent-elle pas restées tranquillement dans la session du user ?

[nims]

Je suis preneur mais explique moi comment faire !!

En ayant plusieurs liens menant à la meme action (il y a juste la parametre passé qui change) je ne peux pas avoir la meme variable session pour tout les liens...

Je suis preneur si tu as des idées ...

[Michel Rotta]

Je ne comprend pas, j'ai relu depuis le début et tu y dis des choses contradictoires.

Ce que j'ai compris c'est que tu as une page qui doit pouvoir afficher des informations différentes, en fonction de la page d'où vient l'utilisateur.

Que l'utilisateur ne peut pas / doit pas pouvoir visualiser ces informations, ni les modifier.

Quant j'écris cela, j'ai l'impression de faire un mauvais résumé.

Suis-je dans le vrai ?

Pourrais-tu expliquer en replaçant dans son contexte ou dans un autre qui y ressemble ce que tu souhaites ? Avec un exemple d'interaction utilisateur.

[nims]

ok désolé... tu fais fausse route...

Imaginons le joueur dans un jeu où il peut se déplacer.
Je représente donc la zone de jeu avec une grille.
Chaque case de la grille a un ID.
Le jeu possède un ID de la grille = sa position sur la grille.

Pour se déplacer le joueur clique sur les cases juste à coté de SA case.
Chaque lien a l'ID de la case courante.

Si le joueur clique sur le lien il met à jour son id de position...

Ce que je voulais: cacher l'id dans le lien pour sécuriser les déplacements.
Ex: en get: le joueur pouvait changer dans l'url est se déplacer beaucoup plus vite...

Plusieurs solutions :
- Passer cet ID en session via un script JS entre le clique et l'action du lien
- Crypter l'ID dans l'url
- Ne pas passer l'url mais plutot appeler des actions comme droite,gauche, haut...

Cette dernière me semble pas mal car l'ID n'est pas présent. C'est dans l'action (gauche,droite,haut...) que l'ID sera mis à jour...

J'espère que c'est plus clair...
Si tu as une idée ou un commentaire hésite pas

[Michel Rotta]

C'est sur, là, j'ai même compris.

Tu as la solution, enfin, celle que j'utiliserais.

Dans le lien tu met le déplacement à partir de la case actuel du joueur.

Dans la session tu gère la position du joueur.

Ton formulaire vérifie que le lien retourné est bon

Et ton action calcul la nouvelle positon.

Tu peux aussi stocker la position dans une base, tous dépend de la durée de conservation et du partage de la position avec les autres joueurs.

Et avec les routes et un peu de code tu peux avoir un lien du style /move/up.html ou move/right.html totalement neutre.

[nims]

Yep

Voila tu as tout compris !

Tout est stocké en base... La position du joueur est stocké dans la session dès qu'il se log...

Merci pour ton aide

PS: le jeu c'est celui de ma signature

[Michel Rotta]

Attention avec le stockage dans la session à la durée de la session.

Et si le jeux est massivement multijoueur, il faut pouvoir partager cette positon avec les autres qui pourraient peut-être inter réagir entre eux. Donc, même si tu garde la position dans la session, pour ne pas avoir à interroger en lecture à chaque fois, il faut peut-être envisager une mise à jour de la base à chaque mouvement.

Et si tu es un peu paranoïaque, en profiter pour vérifier que la position dans la session soit bien celle qui est dans la base, au cas où un hack aurait permit de modifier les données de la session (peu probable, mais...)