Discussion :

[nims]

Bonsoir à tous !

J'ai un lien (DoctrineRoute) sur l'action A qui pointe vers son action (B) et qui est immédiatement rediriger vers A.

Ce lien est présent sur la page que si plusieurs conditions sont satisfaites.
Pour le moment, il suffit d'entrer l'url et on accède à l'action B...

B fait un traitement que je souhaite sécuriser.
Je voudrais éviter que le traitement se fasse si l'utilisateur rentre directement l'url.

Mais ceci n'est pas suffisant pour sécuriser mon action...
Il faudrait peut être contrôler la page précédente ?

Je sais pas trop comment faire ceci ...

Une idée ?? merci d'avance !

[Michel Rotta]

Pourquoi passer par une route pour une action à sécuriser ?

Tu peux aussi mettre ton action dans une librairie personnel, et l'appeler depuis ton traitement.

dans le dossier lib du projet, tu crée un dossier "securise" et dans ce dossier une class avec ton code.

Inaccessible par un user.

[nims]

Le code sera sécurisé mais pas son accès...
Si l'utilisateur connait l'url il pourra accéder à l'action et donc au dossier "securise".

[Michel Rotta]

Si tu mets, comme je le conseille, le code dans une librairie et que l'utilisateur est capable d'y accéder, ton site est alors tellement compromis qu'il ne sert plus à rien de s'inquiéter pour ce bête accès !!!

Il s'agit simplement de ne pas créer de route, juste un class dans une librairie. Donc à un endroit totalement inaccessible à un utilisateur.

[nims]

Hum... Je comprends ce que tu veux dire mais je vois pas comment ca peut résoudre le problème !

Je refais une explication plus précise de ce qui se passe !


L'utilisateur clique sur un bouton.
Ce bouton va faire exécuter un script qui, selon le résultat, va faire apparaitre un autre bouton.

C'est l'action de ce dernier bouton que je souhaite sécuriser ! L'accès à l'action de se bouton doit être permise uniquement si le bouton est présent...
Je veux que l'action ne soit pas accessible donc par url direct...

Le fait de placer l'action dans une class externe ne change rien...

Je comprend que le fait d'agir directement sur class::fonction sera sécurisé mais comment juste en cliquant sur le bouton... (sans passer par l'action qui possède une url)

[Michel Rotta]

Le système existe de base dans symfony.

Il faut utilisé un lien sécurisé par XCRF. Si tu regardes dans un module généré par le module administration, tu vas voir que le liens pour supprimer un enregistrement est sécurisé de cette manière.

Dans ton action, tu as une fonction qui vérifie la présence du XCRF et donc que l'accès au lien est valide. Le système créer le code, et un timecode de durée de validité du lien.

Tous simple.