Sécurisation des post
cs_destiny
Messages postés
249
Date d'inscription
jeudi 17 février 2005
Statut
Membre
Dernière intervention
29 août 2011
-
24 févr. 2009 à 15:41
marcelolipi Messages postés 91 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 25 juillet 2011 - 18 avril 2009 à 16:53
marcelolipi Messages postés 91 Date d'inscription mercredi 15 novembre 2006 Statut Membre Dernière intervention 25 juillet 2011 - 18 avril 2009 à 16:53
7 réponses
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
24 févr. 2009 à 18:17
24 févr. 2009 à 18:17
salut
tu ne peux pas en etre sur a 100%
tu ne peux pas en etre sur a 100%
cs_destiny
Messages postés
249
Date d'inscription
jeudi 17 février 2005
Statut
Membre
Dernière intervention
29 août 2011
24 févr. 2009 à 18:32
24 févr. 2009 à 18:32
Ben je pense que le mieux est une verif avec les _SESSION
qu'en pense tu ?
http://race24h.org/
qu'en pense tu ?
http://race24h.org/
coucou747
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Membre
Dernière intervention
30 juillet 2012
44
24 févr. 2009 à 18:39
24 févr. 2009 à 18:39
ouais, c'est ce qu'on fait generalement
Arto_8000
Messages postés
1044
Date d'inscription
lundi 7 mars 2005
Statut
Membre
Dernière intervention
13 juillet 2010
7
24 févr. 2009 à 21:28
24 févr. 2009 à 21:28
C'est ce qu'il y a de plus simple, mais de plus sécuritaire, car c'est encore faillible comme système si tu te fies seulement au session. La seul façon que ça soit vraiment sécuritaire c'est d'utiliser des tokens dans ton formulaire.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cs_destiny
Messages postés
249
Date d'inscription
jeudi 17 février 2005
Statut
Membre
Dernière intervention
29 août 2011
24 févr. 2009 à 23:29
24 févr. 2009 à 23:29
Token ?!?
c'est quoi exactement ? Merci
http://race24h.org/
c'est quoi exactement ? Merci
http://race24h.org/
Arto_8000
Messages postés
1044
Date d'inscription
lundi 7 mars 2005
Statut
Membre
Dernière intervention
13 juillet 2010
7
25 févr. 2009 à 04:39
25 févr. 2009 à 04:39
Un token c'est un paramètre que tu rajoutes dans ton formulaire pour t'assurer que c'est bien l'utilisateur qui a fait l'action.
Exemple :
page1.php
<?php
session_start();
$_SESSION['token'] = md5(rand(1,100000000));
?>
<form action="page2.php" method="POST">
">
... et le reste de ton formulaire
</form>
page2.php
<?php
session_start();
if (isset($_POST['token']) && $_POST['token'] == $_SESSION['token']) {
// Le token est bon, on peut continuer //
}
?>
Dans la page 1, on définit le token qui devrait être retransmit à la deuxième page par le client, la valeur de ce token est aléatoire pour rendre impossible le fait de savoir cette valeur d'avance. Ainsi, la requête doit absolument passer par ton site et l'utilisateur doit absolument faire le click sur ton site pour pouvoir continuer.
C'est le moyen le plus efficace pour t'assurer que l'utilisateur est passé via ton site et qu'il ne s'agit pas d'attaque de type CSRF.
Exemple :
page1.php
<?php
session_start();
$_SESSION['token'] = md5(rand(1,100000000));
?>
<form action="page2.php" method="POST">
">
... et le reste de ton formulaire
</form>
page2.php
<?php
session_start();
if (isset($_POST['token']) && $_POST['token'] == $_SESSION['token']) {
// Le token est bon, on peut continuer //
}
?>
Dans la page 1, on définit le token qui devrait être retransmit à la deuxième page par le client, la valeur de ce token est aléatoire pour rendre impossible le fait de savoir cette valeur d'avance. Ainsi, la requête doit absolument passer par ton site et l'utilisateur doit absolument faire le click sur ton site pour pouvoir continuer.
C'est le moyen le plus efficace pour t'assurer que l'utilisateur est passé via ton site et qu'il ne s'agit pas d'attaque de type CSRF.
marcelolipi
Messages postés
91
Date d'inscription
mercredi 15 novembre 2006
Statut
Membre
Dernière intervention
25 juillet 2011
18 avril 2009 à 16:53
18 avril 2009 à 16:53
salut
pour ce ki a été du post initial je pense qu'il faut chercher dans les les variables serveur
$_SERVER mais bon pour le momment personnellement je n'y connais pas grand chose.
pour ce ki a été du post initial je pense qu'il faut chercher dans les les variables serveur
$_SERVER mais bon pour le momment personnellement je n'y connais pas grand chose.