Discussion :

[s-c-a-r-a]

Salut,

J'utilise un formulaire avec la méthode GET et je me demandais ce qu'il ne fallait surtout pas oublier pour sécuriser l'inscription des données et l'affichage des résultats. J'ai déja un parcouru les forums mais je n'ai pas envie de prendre de risques...

Merci d'avance!

[sharrascript]

bonsoir,

Tout dépend des donnés qui transitent par le get.
Dans un premier temps, pour sécurisé un peu plus ("j'ai bien dit un peu") le mieux est de passer par la méthode post.

Sont-elles destinées à une base de données??

++

[N1bus]

Bonjour,

En général on utilise la méthode POST dans les formulaires et GET dans les URLs.

[s-c-a-r-a]

Le problème c'est qu'avec mon formulaire en POST, je ne parviens pas à récupérer mes variables de pages en pages, donc j'ai opté pour le GET avec lequel je récupère tout via l'URL. Mais... c'est vraiment moins bien que POST ?

[N1bus]

Sans doute parce qu'en POST tu récupères tes variables directement, or il faut utiliser la superglobale $_POST :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_POST['le_nom_ta_variable'];

Encore un article à lire ici

[s-c-a-r-a]

Ok merci bien je vais aller lire ça, juste une question : j'ai lu que les superglobales n'étaient pas forcément activées dans le php et qu'elles posaient parfois des problèmes de sécurité c'est vrai ?

[N1bus]

$_POST, $_GET, $_FILE et de nombreuses autres sont présentes depuis PHP version 4.1.0

Pour la sécurité, la directive register_globals devrait être à OFF (c'est à OFF par défaut depuis PHP 4.2.0 ) et tu devrais donc utiliser les superglobales ci-dessus.

Voir dans la DOC PHP -> Variables prédéfinies

[sharrascript]

bonjour,

D'ailleurs un petit conseil si tu as ton register_globals à ON, n'appels jamais des variables de type différent du même nom.

exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$_POST['var'];
$var;
$_SESSION['var'];

Ces trois variables seront les mêmes, donc bien faire attention, on peu avoir de mauvaises surprises parfois. C'est notamment pour cette raison qu'il a été mis à OFF.

++

[vg33]

De toute façon, quelle que soit la méthode utilisée pour récupérer des infos utilisateur (POST, GET, COOKIES...), il faut considérer qu'elles sont potentiellement corrompues et dangereuses. La méthode ne change rien à l'affaire : tu peux pirater un POST (presque) aussi facilement qu'un GET.
A faire donc : contrôler systématiquement toute donnée utilisateur (présence, format, taille, caractères...). Toujours échapper les valeurs avant enregistrement en bdd pour éviter l'injection SQL (par exemple avec mysql_real_escape_string() pour mysql). Toujours échapper les valeurs avant affichage, notamment pour réafficher le contenu d'un formulaire, par exemple après erreur (avec htmlentities() par exemple).

Dernière chose : les sessions sont à mon avis beaucoup plus efficaces pour un formulaire de plusieurs pages. En effet, tu n'as pas besoin avec elles de valider l'ensemble des données à chaque page, mais uniquement celles qui viennent d'être postées.