26-03-2010, 01:51 PM
merci...
ok, ca y est j'ai compris...
donc pour tout les HTTP Post, Put et Delete on met un jeton (<input type="hidden" value="sdf654sdf6499"> )
Mais l'exemple que tu donne est un _GET, et là je vois pas comment mettre un jeton...
merci de me le rappeler
mais vu l'etat d'avancement de mon projet, je vais avoir du mal à le passer sous un framework...
(26-03-2010, 01:22 PM)Sephi-Chan a écrit : Cela devrait être fait pour toutes les requêtes d'actions (donc les méthodes HTTP Post, Put et Delete).
Exemple : si je sais que tu es administrateur du site Lambda, je t'envoie un lien (TinyURL par exemple) qui t'envoie sur lambda.tld/admin/delete_user.php?id=23. Hop j'ai gagné, tu as supprimé l'utilisateur 23 toi même ! Ça implique de deviner certaines choses, mais quand tu sécurises, il faut penser que rien n'est secret et faire un test dit full knowledge.
ok, ca y est j'ai compris...
donc pour tout les HTTP Post, Put et Delete on met un jeton (<input type="hidden" value="sdf654sdf6499"> )
Mais l'exemple que tu donne est un _GET, et là je vois pas comment mettre un jeton...
Citation :Enfin, comme toujours (vraiment toujours), de bons développeurs ont déjà pensé à ça avant vous et ont mis au point des solutions propres et sûres. Encore du temps gagné à utiliser un bon framework, où tout cela se fait automatiquement.
merci de me le rappeler
mais vu l'etat d'avancement de mon projet, je vais avoir du mal à le passer sous un framework...