Discussion :

[cicco]

Bonjour,
En phase d'amélioration de la sécurité de sites (ce qui n'est pas mon fort, pour ainsi dire, je n'en ai pas la moindre expérience), j'en suis venu à me poser une question, est-il possible de passer un argument (type POST, en GET ça serait trop simple comme question) à un script php sans passer par un formulaire, de façon "contournée" ?

Petite illustration simpliste, pour me connecter à l'administration du site j'ai besoin de mdp et id (en session), qui selon les pages sont vérifiés ou non (lorsque le script permet l'envoi d'info j'utilise les sessions, lorsque c'est pour insérer les infos précédemment reçu je m'en passe, actuellement).
Si jamais je ne fais pas la vérification des variables de session id et mdp dans une page qui théoriquement n'est accessible qu'une fois certaine données insérées (via un formulaire en amont), une personne malveillante (concurrent, par exemple !?) pourrait-elle insérer de mauvaises infos sans être connectée et sans passer par le formulaire en amont ?

Merci par avance,
Olivier

[sabotage]

C'est bien sur possible : le navigateur ne fait qu'envoyer des requêtes.
Ces requêtes peuvent être créée en dehors de tout navigateur.
Même plus simplement, on peut modifier le formulaire : la ou la liste déroulante m'autorise un choix de 1 à 5, je peux envoyer un 6.

[cicco]

Ok, comme ça je suis fixé, je met les vérifications sur tous les script.
Merci de ta réponse.