Discussion :

[klakman]

Bonjour,

Pour commencer, je ne sais pas si je poste au bon endroit .

Je code un formulaire de type newsletter très simple, dans lequel je veux incorporer AJAX. Le problème n'est pas sur AJAX lui même, mais comme dans mon formulaire on trouve trois langages ( HTML, PHP, Javascript ), je savais pas trop où poster...

Passons au vif du sujet.

Comme le titre l'indique, je me pose des questions sur la sécurité des formulaires.

Pour soumettre mon formulaire, voilà comment je procède.

Code html :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<form id="formForm" method="post" enctype="multipart/form-data" action="traitement.php" >

Code Javascript :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
window.onload = function() {
// du code avant
	var form = document.getElementById('formForm');
		form.onsubmit = function() { return CheckGlobal(form); };
// du code après
}

Comme vous vous en doutez, CheckGlobal utilise AJAX pour contrôler avec retour d'information tout les champs du formulaire.

Mais si l'utilisateur n'utilise pas javascript ( volontairement entre autre ), ma fonction de contrôle ne sera pas exécutée. Comment palier à ca?

J'ai pensé à une façon de faire, contrôler de nouveau la validité des champs sur la page cible de mon formulaire, mais cette méthode me paraît lourde, autant en terme de programmation qu'en temps d'exécution.

Voila pourquoi je m'en réfère à vos conseils.

J'ai aussi une question auxiliaire, lorsque je mets un input :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="text" id="formTitre" size="30" />

$_POST['formTitre'], ne semble pas fonctionner, suis-je obligé de passer par l'attribut "name"?

PS : Si vous voyez d'autres conseils important à donner à un débutant sur AJAX, les formulaires et la sécurité, je suis preneur!

Merci par avance

[Bovino]

Mais si l'utilisateur n'utilise pas javascript ( volontairement entre autre ), ma fonction de contrôle ne sera pas exécutée. Comment palier à ca?

Ben c'est simple, tu peux pas

J'ai pensé à une façon de faire, contrôler de nouveau la validité des champs sur la page cible de mon formulaire, mais cette méthode me paraît lourde, autant en terme de programmation qu'en temps d'exécution.

Attention !!!
Le contrôle en JavaScript ne doit JAMAIS se substituer au contrôle coté serveur !
En JavaScript, il sert juste à ajouter un confort supplémentaire pour prévenir l'utilisateur que le formulaire est mal rempli et lui éviter ainsi de recharger la page pour s'entendre dire que c'est pas bon.
Mais en aucun cas tu ne peux considérer que cela sécurise quoi que ce soit !
Il n'y a rien de plus facile que de t'envoyer le formulaire avec des tentatives d'injections même si aucun champ n'est rempli et JavaScript activé !
Les vérifications coté serveur sont incontournable !

Never trust user input

[klakman]

Ok, merci, je m'en doutais, mais je me demandais quelle était la méthode utilisée en général, la plus 'propre' et la plus 'fiable'.

Pour l'instant, j'utilise AJAX, qui fait appel au script PHP, pour informer l'utilisateur en 'temps réel', et derrière, lors de la soumission du formulaire, je revérifie les données dans un script PHP.

Cette méthode me paraissait lourde ( double vérification ), mais d'après ce que tu dis, c'est la ( une ) bonne méthode?

[Bovino]

Cette méthode me paraissait lourde ( double vérification ), mais d'après ce que tu dis, c'est la ( une ) bonne méthode?

C'est LA seule méthode

Et il ne faut en aucun cas considérer que c'est une double vérification.

[klakman]

Bun merci pour l'information!

Sinon je me permets de reposer ma question auxiliaire :

J'ai aussi une question auxiliaire, lorsque je mets un input :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="text" id="formTitre" size="30" />

$_POST['formTitre'], ne semble pas fonctionner, suis-je obligé de passer par l'attribut "name"?

Je pense que je peux trouver la réponse sur internet, mais en attendant je profite du temps que je suis ici.


EDIT :

Bon, d'après mes recherches, dans les formulaires on met les deux attributs ( id + name ) à la même valeur.

Voila merci pour votre ( ton ) aide!

[Bovino]

Les valeurs des formulaires sont envoyées si leur attribut name est renseigné sous la forme "name=value".

L'id ne sert donc à rien pour l'envoi des données du formulaire.
En revanche, mettre le même name et id est assez fréquent mais n'est pas selon moi une bonne pratique, le name et l'id ne servant pas à la même chose, les appeler de la même manière n'est pas (toujours selon moi) conceptuellement approprié, de plus, contrairement au name, l'id doit être unique dans la page, enfin, la gestion particulière de l'attribut name par IE devrait susciter la plus grande prudence quant au nommage.