Discussion :

[Cvbdev]

Bonjour,

Je souhaite envoyer un mail à partir d'un des sites que je suis entrain de produire, en utilisant la fonction mail de PHP.
Pensez-vous qu'il est prudent en terme de sécurité, d'employer AJAX afin de vérifier si tout les champs obligatoires sont bien remplis ?
Car on fais appel à des fonctions Javascript qui appel ensuite la page PHP afin de traiter les élèments...

Je trouve cela un peu léger comme sécurité et j'aurais voulu avoir votre avis las-dessus, savoir comme vous procédez !

D'avance merci pour les réponses
++

[RideKick]

Bonjour

En règle générale la vérification des champs doit se faire du cote PHP et éventuellement on peut aussi le faire en JavaScript.

Dans ton cas il faut bien faire attention a 2 choses :

- Lors de l'appel du fichier PHP qui envoi le mail , bien vérifier les valeurs (présence etc ...)
- Lors de ce même appel, crypter les valeurs : pourquoi ? simplement que tes valeurs vont se balader "en clair" dans les headers et un simple proxy pourra donc révéler les infos qui transitent entre tes 2 pages.

[sabotage]

Tu peux par exemple placer une variable de session validant que le vérification a été réalisée ; sinon effectivement si l'utilisateur n'utilise pas javascript, tu n'auras pas de vérification.

[Cvbdev]

Tu peux par exemple placer une variable de session validant que le vérification a été réalisée ; sinon effectivement si l'utilisateur n'utilise pas javascript, tu n'auras pas de vérification.

Je compte le faire en PHP également (j'avais oublié de le préciser).

Je désire également utiliser AJAX pour le réaliser la vérification en JS ce qui évite de recharger la page, un appel au serveur.
C'est un complément à PHP.

Et je me posais la question si la méthode que je désire employer est correct.
A savoir, qu'en AJAX on fait appel à une page PHP et je ne trouve pas cela trés sécurisant...

Et surtout comme procédez vous de votre coté pour ce genre de problèmatique, rechargez vous la page pour faire des vérifications ?

D'avance merci
++

[Cvbdev]

Bonjour

En règle générale la vérification des champs doit se faire du cote PHP et éventuellement on peut aussi le faire en JavaScript.

Dans ton cas il faut bien faire attention a 2 choses :

- Lors de l'appel du fichier PHP qui envoi le mail , bien vérifier les valeurs (présence etc ...)
- Lors de ce même appel, crypter les valeurs : pourquoi ? simplement que tes valeurs vont se balader "en clair" dans les headers et un simple proxy pourra donc révéler les infos qui transitent entre tes 2 pages.

Dans la fonction Mail j'utilise ce code : http://a-pellegrini.developpez.com/tutoriels/php/mail/ > "3.4. Mail simple avec pièce jointe" ou je crypthe le header et le message également. Je ne comprenais pas les raisons, tu viens de m'éclaircir à ce propos !

Je n'avais pas vu ta réponse, mais je disais que je comptais vérifier également du coté PHP, mais je comptais le réaliser en JS aussi afin de ne pas recharger la page et de réaliser des appels au serveurs...

Le seul soucis c'est que je trouve que cette méthode utilisé par AJAX pour faire appel à une page PHP (méthode GET ou POST), peu fiable et je voudrais savoir ce que vous en pensiez ? Car pour un pirate c'est facilement contournable AJAX... :/

Exemple de code : http://gael-donat.developpez.com/web/intro-ajax/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
function ajax()
{
(...)
 
    //on appelle le fichier php
    xhr.open("GET", "http://gael-donat.developpez.com/web/intro-ajax/mail.php", true);
    xhr.send(null);
}
 
(...)
}

Questions subsidiare à tout hasard, est-ce qu'en utilsant PERL l'envoi de mail est plus sécurisé ?



D'avance merci !
++