20-03-2008, 10:40 PM
Encore une fois, GET ou POST, la sécurité est le même combat... Si tu attaques ta base de données avec des paramètres donnés par l'utilisateur, que ce soit via l'URL ou un formulaire, c'est tout aussi peu sécurisé si tu ne fais pas les actions nécessaires côté serveur.
Il faut comprendre que GET et POST n'ont pas les mêmes usages. Leur nom me parait pourtant suffisamment évident pour qu'on comprenne le rôle de chacun :
- GET est à utiliser lorsque l'utilisateur souhaite RÉCUPÉRER une information
- POST est à utiliser lorsque l'utilisateur souhaite ENVOYER une information
La différence peut sembler floue parfois (il faut bien envoyer l'information avant d'en récupérer le résultat), il faut dans ce cas simplement se poser la question de ce qui est prioritaire : l'envoi de l'information par l'utilisateur, ou l'envoi de l'information à l'utilisateur.
Il serait idiot de vouloir faire un formulaire d'inscription en GET, car l'action primordiale est l'envoi d'informations.
Il serait idiot de vouloir faire un moteur de recherche (ou un formulaire de filtrage) en POST, car l'action primordiale est le résultat de la requête.
Ça vous semble conceptuel, voire très théorique ? Et pourtant, posez-vous simplement la question en ces termes : «est-ce que je souhaite qu'il soit possible de faire un lien direct vers le résultat de mon formulaire ?».
Seule la réponse à cette question permet de déterminer immédiatement s'il faut utiliser GET ou POST.
Il faut comprendre que GET et POST n'ont pas les mêmes usages. Leur nom me parait pourtant suffisamment évident pour qu'on comprenne le rôle de chacun :
- GET est à utiliser lorsque l'utilisateur souhaite RÉCUPÉRER une information
- POST est à utiliser lorsque l'utilisateur souhaite ENVOYER une information
La différence peut sembler floue parfois (il faut bien envoyer l'information avant d'en récupérer le résultat), il faut dans ce cas simplement se poser la question de ce qui est prioritaire : l'envoi de l'information par l'utilisateur, ou l'envoi de l'information à l'utilisateur.
Il serait idiot de vouloir faire un formulaire d'inscription en GET, car l'action primordiale est l'envoi d'informations.
Il serait idiot de vouloir faire un moteur de recherche (ou un formulaire de filtrage) en POST, car l'action primordiale est le résultat de la requête.
Ça vous semble conceptuel, voire très théorique ? Et pourtant, posez-vous simplement la question en ces termes : «est-ce que je souhaite qu'il soit possible de faire un lien direct vers le résultat de mon formulaire ?».
Seule la réponse à cette question permet de déterminer immédiatement s'il faut utiliser GET ou POST.
Ressources [PHP][MySQL][![[Image: fav.png]](http://prototypejs.org/images/fav.png)
prototype.js]
prototype.js]