Discussion :

[sara21]

Bonsoir,

Permettez-moi de vous proposer mon cas espérant trouver une solution sur le forum.

J’ai une page page1.php qui contient le formulaire suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<form action="page2.php" method="post">
<input type="text" name="txt" id="txt" value=" XXXXX">
<button type="button" id="envoyer">
</form>

Est-ce qu’il existe un moyen en php (ou javascript) d’interdire l’accès direct à la page page2.php via curl() avec l'option CURLOPT_POST ?

Merci d’avance pour vos suggestions.

[nosferapti]

tu peux empêcher l'accès à ta page par un robot avec un CAPTCHA par exemple

regarde ces pages :
http://kmdkaci.developpez.com/tutori...ires/#LIII-A-3
http://php.developpez.com/faq/?page=securite#captcha

[sara21]

Bonjour,

Merci nosferapti pour ta réponse mais en moyen je suppose qu’un visiteur normal peux envoyer environ 10 à 20 formulaires par jour donc je pense que le visiteur sera vite dégouté de taper à chaque fois les lettres (chiffres) de l’image.

[sabotage]

cURL se comporte exactement comme un navigateur envoyant le formulaire.

Le seul moyen pour différencier un utilisateur d'un robot est de demander quelque chose que le robot ne peut pas faire.

[asdf007]

Ça s'appelle une faille CSRF (Cross-Site Request Forgery). Le moyen le plus usuel de la contourner est de passer dans le formulaire (ou dans le lien, mais c'est souvent en POST que c'est utile) un token généré aléatoirement et stocké en session. Ledit token sera vérifié à la réception du formulaire. Il me semble que ce n'est pas 100% fiable non plus, mais ça rend les contournements extrêmement délicats au minimum.

[ame="http://www.google.fr/search?hl=fr&q=csrf+php&meta=lr%3Dlang_fr&aq=f&aqi=g10&aql=&oq=&gs_rfai="]csrf php - Recherche Google[/ame]

edit : nickel la détection des liens Google sur ce forum.

[nosferapti]

Ça s'appelle une faille CSRF (Cross-Site Request Forgery). Le moyen le plus usuel de la contourner est de passer dans le formulaire (ou dans le lien, mais c'est souvent en POST que c'est utile) un token généré aléatoirement et stocké en session. Ledit token sera vérifié à la réception du formulaire. Il me semble que ce n'est pas 100% fiable non plus, mais ça rend les contournements extrêmement délicats au minimum

dans ce cas le token peut être récupéré avec une 1re requête GET avec cURL donc ça ne règle pas le problème de sara21

[sabotage]

oui mais si on ne connait pas le procédé utilisé, ca peut décourager.