IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Protection contre CURLOPT_POST


Sujet :

Langage PHP

  1. #1
    Membre du Club
    Inscrit en
    Mars 2006
    Messages
    147
    Détails du profil
    Informations forums :
    Inscription : Mars 2006
    Messages : 147
    Points : 62
    Points
    62
    Par défaut Protection contre CURLOPT_POST
    Bonsoir,

    Permettez-moi de vous proposer mon cas espérant trouver une solution sur le forum.

    J’ai une page page1.php qui contient le formulaire suivant :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    <form action="page2.php" method="post">
    <input type="text" name="txt" id="txt" value=" XXXXX">
    <button type="button" id="envoyer">
    </form>
    Est-ce qu’il existe un moyen en php (ou javascript) d’interdire l’accès direct à la page page2.php via curl() avec l'option CURLOPT_POST ?

    Merci d’avance pour vos suggestions.

  2. #2
    Membre chevronné Avatar de nosferapti
    Profil pro
    Inscrit en
    Avril 2009
    Messages
    1 157
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 157
    Points : 1 895
    Points
    1 895
    Par défaut
    tu peux empêcher l'accès à ta page par un robot avec un CAPTCHA par exemple

    regarde ces pages :
    http://kmdkaci.developpez.com/tutori...ires/#LIII-A-3
    http://php.developpez.com/faq/?page=securite#captcha

  3. #3
    Membre du Club
    Inscrit en
    Mars 2006
    Messages
    147
    Détails du profil
    Informations forums :
    Inscription : Mars 2006
    Messages : 147
    Points : 62
    Points
    62
    Par défaut
    Bonjour,

    Merci nosferapti pour ta réponse mais en moyen je suppose qu’un visiteur normal peux envoyer environ 10 à 20 formulaires par jour donc je pense que le visiteur sera vite dégouté de taper à chaque fois les lettres (chiffres) de l’image.

  4. #4
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    cURL se comporte exactement comme un navigateur envoyant le formulaire.

    Le seul moyen pour différencier un utilisateur d'un robot est de demander quelque chose que le robot ne peut pas faire.

  5. #5
    Membre habitué
    Profil pro
    Inscrit en
    Octobre 2006
    Messages
    144
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2006
    Messages : 144
    Points : 161
    Points
    161
    Par défaut
    Ça s'appelle une faille CSRF (Cross-Site Request Forgery). Le moyen le plus usuel de la contourner est de passer dans le formulaire (ou dans le lien, mais c'est souvent en POST que c'est utile) un token généré aléatoirement et stocké en session. Ledit token sera vérifié à la réception du formulaire. Il me semble que ce n'est pas 100% fiable non plus, mais ça rend les contournements extrêmement délicats au minimum.

    [ame="http://www.google.fr/search?hl=fr&q=csrf+php&meta=lr%3Dlang_fr&aq=f&aqi=g10&aql=&oq=&gs_rfai="]csrf php - Recherche Google[/ame]

    edit : nickel la détection des liens Google sur ce forum.

  6. #6
    Membre chevronné Avatar de nosferapti
    Profil pro
    Inscrit en
    Avril 2009
    Messages
    1 157
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2009
    Messages : 1 157
    Points : 1 895
    Points
    1 895
    Par défaut
    Citation Envoyé par asdf007 Voir le message
    Ça s'appelle une faille CSRF (Cross-Site Request Forgery). Le moyen le plus usuel de la contourner est de passer dans le formulaire (ou dans le lien, mais c'est souvent en POST que c'est utile) un token généré aléatoirement et stocké en session. Ledit token sera vérifié à la réception du formulaire. Il me semble que ce n'est pas 100% fiable non plus, mais ça rend les contournements extrêmement délicats au minimum
    dans ce cas le token peut être récupéré avec une 1re requête GET avec cURL donc ça ne règle pas le problème de sara21

  7. #7
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Points : 44 155
    Points
    44 155
    Par défaut
    oui mais si on ne connait pas le procédé utilisé, ca peut décourager.

Discussions similaires

  1. Protection contre les SQL Injections ?
    Par kedare dans le forum JDBC
    Réponses: 9
    Dernier message: 05/05/2010, 11h42
  2. Programme de protection contre le déni de service
    Par EJ dans le forum Développement
    Réponses: 7
    Dernier message: 03/07/2009, 23h14
  3. La meilleure protection contre le piratage des logiciels ?
    Par iubito dans le forum Débats sur le développement - Le Best Of
    Réponses: 184
    Dernier message: 23/12/2008, 14h35
  4. [Sécurité] Protection contre le spam
    Par lhpp dans le forum Langage
    Réponses: 3
    Dernier message: 20/09/2006, 11h31
  5. PROTECTION CONTRE LES ASPIRATEURS DE SITE
    Par squalito dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 19/01/2005, 15h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo