D'accord, si je comprend bien, même en passant par l'url rewriting et une formule mathématique, l'internaute (gaffeur) peut toujours voir et modifier ma données et donc générer des problèmes lors de la réception de cette donnée.
Je suis donc résolue à utiliser le POST que tu m'a indiqué plus haut.
Je l'ai testé mais ca ne marchais pas. Faut-il que je mette le contenu de ma vue dans le formulaire ou c'est seulement le champs caché?
Attention: je travaille dans un milieu financier, et je suis habitué à sécuriser mes applications, donc pour protéger de ce que vous dites, il faut
1. isoler les données: chaque utilisateur ne peut voir/modifier que ses donnnées
2. il faut eventuellement ajouter une gestion de droits si chaque profil permet ou non de modifier/voir uniquement une donnée
Pour le post, attention, on peut également le forcer via des outils developpeurs, (F12 sous chrome)
La première règle en sécurité c'est de se méfier/sécuriser toutes les données/paramètres venant de l'extérieur de l'application (variable $_GET,$_POST mais aussi $_COOKIE
Bonjour,
Là vous avez un langage très informaticien . Je ne comprend pas:.En quoi ça consiste concrètement?isoler les données: chaque utilisateur ne peut voir/modifier que ses données
Pour ma part j'ai défini différents profils de connexion à l'application, et selon le profil connecté, je donne la possibilité d'effectuer telle ou telle action.
En ce qui concerne les 'id' qui doivent être transmis d'une page à l'autre, ils proviennent non pas de l'utilisateur mais de la base de données.
Pouvez-vous m'expliquer en quoi consiste 'l'isolation de données' dont vous parlez?
L'isolation des données: c'est vérifier que chaque personne ne voit et ne modifie que les données qui le concerne.
Par exemple pour une boite mail: on stoque dans une seule base de données plein d'emails, avec un id pour savoir à quel utilisateurs ils appartiennent.
Sur la page d'accueil, on liste tous les derniers emails d'un utilisateur en filtrant avec la clé de l'utilisateur
Mais il ne faut pas s'arreter la: chaque ligne d'email possède un lien permettant de voir et/ou répondre à celui-ci, on a donc une requete comprenant une action de voir/répondre et l'id de l'email
L'isolation des données consiste sur cette page de visualisation/réponse de l'email à vérifier que l'id du mail passé en paramètre (via l'url par exemple) appartient bien à l'utilisateur qui est connecté
sinon on clique dans sa boite gmail sur une mail, puis on modifie l'url pour aller voir l'email de quelqu'un d'autre
C'est plus clair ainsi ?
La page sécurité du framework
http://mkframework.com/security.html
Un article dvp un peu plus détaillé:
http://imikado.developpez.com/tutori...e-mkframework/
Quand le prof explique, les petits comprennent.
Je jette un coup d’œil aux articles. merci pour l'explication, c'est limpide.
Pas de soucis, la sécurité, malheureusement c'est un point trop ignoré sur les formations de programmation. Ce n'est que dans le monde du travail, sur les secteurs "critiques" ou l'on s'en préoccupe allant jusqu'à payer des entreprises pour auditer ses applications...
On apprend donc beaucoup de ces audits
Super, le premier article http://mkframework.com/security.html est clair déjà. je lirai le second à tête reposée. j'ai fais un test d'isolation de données et ç'est robuste, l'internaute s'il change les id contenus dans les liens ne verra rien du tout. ET j'ai mieux compris la force du '_root::getParam()'. C'est puissant.
Je pense que je n'ai plus trop d'inquiétude à me faire si j'utilise cette méthode, je pourrai renforcer la sécurité avec les contrôles sur ce qui s'affiche.
Merci imikado pour ce framework. et pour ta disponibilité pour expliquer son intérêt et son fonctionnement.
Merci à vous
1. de l'utiliser
2. de critiquer poser des questions, ça aide à améliorer celui-ci
N'hésitez pas à en faire la promotion:
Plus il y aura d'utilisateur, plus il y aura une communauté pour
- répondre aux questions
- critiquer / proposer des améliorations
- remonter les bugs
et dans quelques semaines developper dans le futur market
C'est un projet qui grandit depuis 2009 grâce à ses utilisateurs
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager