Discussion :

[pablofr]

Bonsoir à tous,

J’ai développé un petit caddy à base de jquery.

J’aimerai rajouter un code promo afin de faire XX % sur le caddy total du client.
Afin de rendre pratique le caddy je voulais faire une petit validation du code promo en jquery, php, mysql.

Ma question est sur la sécurité, car si je renvoi « TRUE & XX% » pour mettre à jours le caddy, je me dis que rien n’empêche un quelque de modifier le % ou de renvoyer TRUE, avec firebug par exemple.

Qu’en pensez-vous ?

Au pire je ferai à la prochaine étape, en php.

Pablo

[sekaijin]

toute validation doit se faire côté serveur

tu ajax envoie à php asp ou jsp ... tous les élément nécéssaire pour valider la remise
le serveur vérifie que la remise est valide garde dans le panier côté serveur ce résultat et le retourne au client

le handler de réponse js récupère la validité du coupont et informe l'utilisateur

lors de la validation du panier la validité de la remise n'est pas transmise au serveur
le serveur termine l'acha en a joutant la remise s'il la valeur de validité qu'il possède (qu'il a gardé) est ok et ne fait pas de remise sinon

ainsi impossible de valider une remise en trichant

la seul chose qui peu poser pb c'est la violabilité des couponts de réduc
il faut un id de coupont robuste (si un petit malin essai un truc qui n'est pas un vrai coupont il ne faut pas qu'il arrive trop facilement à tomber sur un vrais coupont)

tu peux aussi limiter le nombre de tetative de validation de coupont.
lorsque ton client saisi son coupont tu l'envoie avec Ajax au serveur
côté serveur tu compte les tentatives et au dela de n tentative tu réponds toujours invalide ainsi un craker qui essairait la force brute ne peut pas savoir que tu ne vérifie pas. il peut continuer à essayer sans compromettre ton systeme.

A+JYT

[pablofr]

Merci pour ton avis !