Discussion :

[adeltimple]

Bonjour.
jusqu'à maintenant je sécurisais tout mon js via une double vérification en PHP car le js est facilement modifiable.
Par exemple pour une fonction
fuction modif_comm_admin(3)

je vérifiais d'abord si le gars avait le droit de modifier un com, ensuite si oui j'affichais le bouton, puis enfin en PHP avant affichage de la fenêtre de modif je revérifiais en php.

Mais aujourd'hui je me suis demander notament au moment d'implémenter uploadify si il y avait besoin de re-vérifier en php derrière ( si le fichier était bien de l'extension voulue .....) car notament avec firebug je vois pas comment pouvoir fausser les données...
il s'implémente comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<input id="fileInput" name="fileInput" type="file" />
<script type="text/javascript">// <![CDATA[
$(document).ready(function() {
$('#fileInput').uploadify({
'uploader'  : 'uploadify.swf',
'script'    : 'uploadify.php',
'cancelImg' : 'cancel.png',
'auto'      : true,
'folder'    : '/uploads'
});
});
// ]]></script>

Donc en résumé ma question est simple: est-il toujours nécessaire de faire une vérification de données provenant de js ( paramètres de fonction ou autres) et sinon quand définir quand il est opportun de le faire et quand il est inutile de le faire...


Merci de votre aide

[Bovino]

La réponse tient en un acronyme : NTUI "Never trust user input". Et tout ce qui arrive sur le serveur doit être considéré comme de l'user input.
Donc oui, la vérification coté serveur DOIT être systématique car oui, un utilisateur un peu (sans plus) expérimenté pourra toujours essayer de t'envoyer des données non conformes.
Firebug est le moyen le plus connu et accessible, mais ce n'est pas le seul, certains outils sont capables de créer de toute pièce une requête HTTP.

[adeltimple]

un énorme merci
ça me conforte dans mon idée
( comme le js est un langage client de toute façon ça doit être facile )

Merci encore