PHP|Débutant :: Forums

Je précise :

Admettons que ce ne soit pas un formulaire FORM avec SUBMIT mais plutôt un lien Hyper-Text comme ceci dans le fichier formulaire.php :

formulaire.php :
<a name="proceder" href="traitement.php">rediriger vers</a>

traitement.php :
if (!isset($_POST['proceder'])) { die('Acces directe interdit!'); } else { echo '...'; }

Peut-être faire une function avec une variable globale?

Sans utiliser de session ni de cookie ni de balise input.

$_SERVER['HTTP_REFERER'] est ton amie
a++

Sauf que... ta solution n'est pas fiable !

en effet, je créé un formulaire, je met en action l'adresse de ta page de traitement, je fais un champs (ou une variable dans l'url), au choix, qui indique que validonclick vaut J4k3kk4h3s3k4j (ou autre chose, il me suffit de regarder le code source de la page du formulaire), et je fais ce que je veux.

La vérification d'un champs post n'est pas plus efficace

Quand au $_SERVER['HTTP_REFERER'], et bien, il n'est pas fiable non plus ! En effet, c'est le navigateur client qui fourni cette info. Dans certains cas, il ne le fourni pas (du coup, pas fausse detection de problème), dans d'autres, il suffit que le pirate spécifie comme referer l'adresse du formulaire (compliqué ? regardez donc : https://addons.mozilla.org/fr/firefox/addon/953 ).

Il faut donc être très prudent pour ce genre de vérifications. L'utilisation d'une variable a valeur secrete via une session pourrait être une bonne solution, mais comme le phpsessid est défini dans un cookie, il suffit au pirate de le récupérer pour garder la session. Ceci dit, c'est deja plus compliqué. Avec quelques variations de plus, on peut encore rajouter de la complexité.

Ceci dit, l'idéal ca reste que  la page de traitement vérifie scrupuleusement chaque entrée, de manière a ce que même si son appel vient d'ailleurs que du formulaire, cela n'entraine pas de degats.

@+