Page 1 sur 1
masquer les variables passées dans l'URL
Posté : 21 févr. 2006, 14:19
par savousepate
bonjour !
Pour des raisons de sécurité, j'aimerai savoir si il était possible de masquer des variables passées dans l'URL...
Jen e veux pas que les utilisateurs du site puissent accéder aux variables, et ce serait encore mieux si ils ne pouvaient pas voir l'arborescence du site
j'ai remarqué que sur certains sites, l'addresse ne change jamais
Alors je me suis dit quê la solution consistait peut-être à forcer le navigateur à afficher une autre URL dans la barre d'adresse ?...
j'attend de voir si c'est possible, et si vous avez des solutions à me proposer
merci d'avance
Posté : 21 févr. 2006, 18:43
par Sysadmin
Si tu as besoin de masquer l'adresse, les paramètres contenus dans l'URL ou l'arborescence de ton site Internet, je t'invite fortement à revoir ta stratégie.
Peut-être nous expliquer la raison qui te pousse à masquer ces informations?
Si tu as peur qu'un utilisateur modifie une variable et entre des données pouvant compromettre la sécurité de ton serveur ou de ton application, alors il serait approprié d'améliorer et renforcir la validation des données utilisateurs avant le traitement.
Si tu passes dans l'URL des mots de passes, alors il faudra réviser la stratégie et le design de ton application.
S'il s'agit de numéros bancaire, alors il faudra fortement songer à utiliser une connexion sécurisée à l'aide d'SSL puisque ce genre d'informations nécessitent une sécurité accrue.
Note: Pourquoi afficher une autre adresse dans la barre si ce n'est que pour faire croire à l'utilisateur qu'il est sur un site plutôt qu'un autre? (cela me fait penser aux scam)
Posté : 21 févr. 2006, 20:48
par charabia
Sysadmin a bien décortiqué la chose
Juste pour info, le sujet a été traité, voici comment il masque l'adresse, mais c'est un jeu d'enfant d'aller voir l'url :
http://www.phpfrance.com/forums/voir_su ... texte-.php
Posté : 22 févr. 2006, 12:36
par savousepate
non je ne passe pas de mot de passe par l'URL, ni même de numéro de carte bancaire (faudrait être fou ^^ lol)
je ne passe que des identifiants afin de faire des requêtes par la suite
il est vrai que ce n'est pas si grave de les voir dans l'URL
mais j'aurai préféré les masquer pour qu'on ne puisse pas changer le numéro directement dans l'URL, et que ça fasse plus "propre" au niveau de l'adresse (enlever seulement les ?nro=4 ...etc)
j'ai regardé le lien que vous m'avez donné, et cela résume exactement ce que je voudrais faire
seulement je n'utilise pas de frames dans mon site, donc je pense que c'est impossible à faire dans ce cas ?
Posté : 22 févr. 2006, 18:11
par Spols
il est posible de faire une frame de taille maximum et une autre frame quasi invisible et vide et alors tout se passe par la frame sans rien changer au reste du site
pour éviter les variable dans l'url, pourquoi ne pas utiliser la methode POST?? ou les session
Posté : 23 févr. 2006, 10:51
par savousepate
ah oui, il est vrai que je n'avais pas pensé à utiliser des sessions pour faire cela...
c'est à méditer ! ^^
merci beaucoup de vos réponses 8)
Posté : 23 févr. 2006, 11:29
par zeus
En tout cas, bravo pour les dessins
Tu me fait la même chose que la GSX-R mais sur une R1 2006, je te vénere
Posté : 23 févr. 2006, 13:37
par savousepate
merci lol ^^
un amateur de moto ? ah pas de chance moi c'est plutôt les voitures que je dessine ^^