Discussion :

[vallica]

Bonjour tout le monde,

Depuis quelques mois je met de l'ajax un peu partout dans mes applis php, et depuis le debut je me dis que ce n'est pas bon du tout de laisser sur un serveur web des pages php qui renvoient des résultats que ce soit en responseXml ou en responseText, à quiconque les appellerais.

Je voulais donc savoir comment vous vous y prenez pour sécuriser vos scripts php, j'ai bien pensé à génerer un chiffre aléatoire toutes les minutes ou un truc du genre, mais j'aurais aimé votre avis.

merci d'avance

[efficks]

Mettre un mot de passe ou qqc du genre. Vérifier les variables de session.
Tu pourrais mettre un compteur qui a chaque fois que le client utilise un script AJAX il est incrémenté donc lorsque le client envoie un mauvais chiffre au script et qu'il n'est pas comme celui de la variable session ça marche plus.
Tu mets les scripts PHP sur un HTTPS comme ça les transactions sont cryptées donc impossible de voir les paramètres.

[vallica]

Salut,

Effectivement je n'ai pas pensé aux variables de sessions que je peux tester en amont, et je pense également qu'il faut envoyer ses données en POST systematiquement.

[denisC]

Depuis quelques mois je met de l'ajax un peu partout dans mes applis php, et depuis le debut je me dis que ce n'est pas bon du tout de laisser sur un serveur web des pages php qui renvoient des résultats que ce soit en responseXml ou en responseText, à quiconque les appellerais.

Avant Ajax, tes pages web étaient bien accessibles à tout le monde. Pourquoi tes XML ou text ne le seraient pas eux aussi? La seule solution pour que ça soit sécurisé, c'est le htaccess
Les sessions, ça permet de faire un peu de ménage, mais c'est pas une solution "sûre".

La question c'est pourquoi y aurait-il maintenant plus besoin de sécurité qu'avant?

[vallica]

Salut,

Dans mon cas tout simplement parce que je n'ai pas envie que l'on puisse récupérer un xml très bien exploitable par la suite.
Que j'affiche des données sur mon site dans des tables HTML ou autre ok, mais je ne veux pas qu'on puisse acceder à mes sources de données d'une manière trop facile.

Autre point : je fais souvent dans mes applis des scripts php qui prennent en paramètre post un identifiant d'un tuple en bdd et qui le suppriment.
Imagine que quelqu'un trouve l'adresse de mon script php (dans le code js) il lui suffirait d'appeller mon script pour lui passer des id à supprimer.
Quoique ce point est en partie résolu depuis que je passe mes params par POST quelque soit l'application Ajax.

[denisC]

Certes, c'est un peu plus facile avec du XML qu'avec du HTML....

Pour les suppressions, tu avais déjà probablement une page qui permettait de faire une suppression et tout le monde pouvait l'appeller comme il voulait.

Pour le POST, c'est pas une sécurité bien grande (voire, c'est pas une sécurité du tout, mais c'est mieux que rien).

La seule vraie sécurité, c'est le controle coté serveur par un htaccess.

[vallica]

tu as raison, de plus tous mes scripts ajax sont dans le même dossier, ca sera vite fait de placer un htaccess.

bon dev !