Que faire si inversion malicieuse get en post ?

Version imprimable

Bonjour à tous,

Je me demande si on peut interdire l'interprétation d'un code initialement en get, mais qui pourrait servir à des petits malins qui le retourneraient en post.

Exemple :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 $.getJSON('mapage.html',function(recup){ $.each(recup, function(index, entry){ var html = '<div class="moman">'; html += '<table width="100%"><tr><th class="fils">Un</th> <th class="fils">Deux</th></tr>'; html += '<h2> Date: ' + entry['date'] + '</h2>'; html += '<tr><td class="fils">' + entry['pierre'] + '</td><td class="fils">' + entry['verre'] + '</table>'; $('#containerjson').append(html); }); });
Et ma page html contenant le json (car c'est une boucle for qui introduit les résultats en php :
Code:

1 2 3 4 5 6 7 8 9 10 [ { "date" : "04/12/2012", "pierre" : "zirconium", "verre" : "fin" } ]
Ma question est donc, comment éviter que quelqu'un n'introduise des données en inversant le get en post ?

Merci à vous,

A bientôt,

LeHibou

06/12/2012, 10h04
SpaceFrog

Heu coté serveur ...
tu recupères le get pas le post ...
06/12/2012, 10h14
LeHibou2

Oui, mais si je change le code javascript en bas de page avec firebug, je peux modifier le comportement !

Me trompe-je ?
06/12/2012, 10h46
Bovino

Je comprends rien à ta question... :koi:

Déjà, dans ton code, il n'y a ni GET ni POST, juste un getJSON() qui pointe vers un fichier HTML (:?)

Ensuite, tu peux envoyer tous les paramètres POST que tu veux, si le code côté serveur ne prévoit pas de les utiliser, ils ne serviront à rien !

Il faudrait que tu précises un peu ta question parce que là, c'est difficile de comprendre quel est le [non]problème que tu cherches à résoudre...
06/12/2012, 10h47
SpaceFrog

si tu envoies au serveur du post ...
alors que ton serveur n'attend que du get

je ne vois pas en quoi le fait de modifier get en post peut nuire ???

Code:

if(!isset($_GET['variable']))
06/12/2012, 11h11
LeHibou2

Je pense que je me suis enflammé pour rien alors, c'est pour ça que mon problème semble incompréhensible.

Je sais que ce n'est pas top de mettre du json dans du html, mais sinon la boucle ne peut pas fonctionner car elle est réécrite tel quel dans le fichier .json sans être exécutée bien sûr.

Il y a un danger particulier ? L'extension ne change rien, si ?

Par ailleurs, le getjson semble faire ce qu'on attend de lui, mais je vois partout qu'il faut utiliser parsejson pour sécuriser les infos.

Or, si on ne peut rien poster et que le texte rapatrié est du texte, il n'y a aucun ennui à prévoir !

Le but : aller chercher des info au format json que la boucle aura préparée dans le fichier html et les afficher. Afin de gagner en bande passante.

J'ai bon finalement ?
06/12/2012, 11h14
SpaceFrog

jquery gère la conversion du texte en json ...

pour la sécurité, je ne vois pas de souci entre le get et le post.
A toi coté serveur de tester les données reçues qui sont au format texte ...
de ne pas insérer de données brutes dans des string mysql coté serveur, ne pas faire d'eval en javascript ...

Je ne comprend pas tes craintes ...
06/12/2012, 11h21
LeHibou2

Je n'en ai plus.

Je le reconnais, je me suis enflammé, une crainte de se hacker bêtement.
Pour le xss notamment.

Merci à vous !

A bientôt,

LeHibou