Tout ce qui est appliqué côté front peut être modifié/contourné, d'où la nécessité d'avoir tous les contrôles et la logique métier côté back pour garantir la sécurité.

J'avais mis du disabled et du readonly et bloqué l'insertion de balise ds les champs dans mon formulaire et grâce au javascript, si l'api est ok, les champs étaient activé et remonter toutes les informations.
On pouvais donc valider le formulaire.
Je pensais pas qu'on pouvais désactivé ma mise en place de l'api
site en question : [url]https://www.laboratoire-labeo.fr/fr/demande-de-kit-genomique/[/url]

Des exemples qui suivent la logique de ton code qu'on ne connait pas, c'est impossible à te donner.

Pour filtrer les variables reçues en fonction de leur type, PHP a différentes fonctions comme :
https://www.php.net/filter_var
https://www.php.net/filter_input
Avec lesquels tu peux utiliser des filtres pré-conçus (et donc très fiable) :
- de validation : https://www.php.net/manual/fr/filter.filters.validate.php
- ou de nettoyage : https://www.php.net/manual/fr/filter.filters.sanitize.php

Après si tu dois faire des vérifications qui suivent des règles de gestion du genre "si l'identifiant de l'api est inconnu", là il n'y a pas de solution magique, il faut que tu fasses des tests avec if(...) {...}else{...} en implémentant tes conditions et ta logique

as tu des exemples justement pour protéger au moins cet accès a cet api, style si l'identifiant de l'api est inconnu pas de validation du formulaire ?

:arrow: Il faut que tu mettes tes restrictions et vérifications côté serveur en PHP, et non pas uniquement côté navigateur en HTML, car n'importe qui peut modifier le HTML pour injecter ce qu'il veut.
Ce que tu fais en HTML est utile pour aider l'utilisateur mais pour tout ce qui concerne la sécurité et tes règles métiers, c'est côté serveur que ça doit être appliqué.


[quote=gabinou post_id=472071 time=1655969327 user_id=28073]
ps: je n'arrive pas à vous joindre une capture de mon pc
[/quote]

Il faut que tu l'upload quelque part sur internet, pour pouvoir l'intégrer dans un de tes messages.
Par exemple https://imgur.com/ en cliquant sur "New post" en haut à gauche ou https://www.zupimages.net/ ou https://postimages.org/fr/

Bonjour à tous,

J'ai codé un formulaire avec une api soap qui me permets de vérifier si l'utilisateur existe et cela me remonte également toutes ses coordonnées sauf que mardi, j'ai recu un mail via ce formulaire ou une personne à réussi a valider le formulaire en rentrant n'importe quoi dans le numero d'identification , elle a pu également modifié son nom et son prénom que j'avais bloqué
Effectivement, je n'ai pas mis de vérifications sur le numéro d'identification coté client car celui d'après mes données que je dispose peux contenir 6/7 chiffres suivi d'une lettre en majuscule ou minuscule, et coté verification coté serveur, je suis complétement perdu
Ce qui me semble incroyable, c'est lorsque que je regarde ma bdd, a l'heure de la validation du formulaire, j'ai une ligne que j'ai surligné, aucune donnée n'a été enregistré

[url]https://www.laboratoire-labeo.fr/fr/demande-de-kit-genomique/[/url]

ps: je n'arrive pas à vous joindre une capture de mon pc