Discussion :

[cahnory]

Voici un projet que j'ai dans les cartons depuis un petit moment maintenant, l'idée est de pouvoir gérer toute les facettes d'un formulaire de façon descriptive et avec un minimum de code php.

Pour se faire j'utilise une classe php "décrivant" la structure du formulaire et récoltant les données entrées. Des plugins se chargent ensuite de faire tout un tas d'opération imaginables sur ce formulaires et ses résultats.

J'ai choisi le format json pour la description mais d'autre formats sont tout à fait envisageables.

Le résultat actuel est un brouillon, il est buggé mais permet de se faire une idée de la chose.

Je vous invite à laisser vos commentaires et suggestions.

La démo : http://www.cahnory.fr/php/form/

[supersnail]

Bonjour,

Le concept semble sympatique, sauf qu'on peut malheureusement faire quelques injections de code dans le json, ce qui peut laisser la porte ouverte à des XSS

(Je me suis amusé à rendre un champ orange).
Bref: si le json est utilisé en interne,tout va bien, mais il faut éviter qu'il soit accessible à l'utilisateur final, qui peut faire de vilaines choses avec .

Bref: pour l'injection,je me suis attaqué au champ password, et voilà ma (petite) injection:

Code json :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
{
	"name":	"password",
	"html":	{
 
				"type":		"password\" style=\"background-color:#fe8800",
				"label":	"Mot de passe :"
			}
},

[cahnory]

Alors pour le moment l'utilisation doit naturellement rester interne, rien n'est sécurisé.
En revanche le problème ne se situe pas dans ma classe mais dans le plugin html que j'ai codé pour l'occasion et qui ne me satisfait pas du tout.
Merci pour ton com supersnail

[supersnail]

De rien, je contribue comme ça à améliorer quelque chose

Et surtout ça me rajoute des messages au compteur