Intercepter une requête
Résolu
a70m
Messages postés
2763
Date d'inscription
Statut
Contributeur
Dernière intervention
-
a70m Messages postés 2763 Date d'inscription Statut Contributeur Dernière intervention -
a70m Messages postés 2763 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Il y'a une réponse que je me pose depuis longtemps déjà :
Est-il possible d'intercepter une requête ?
Je m'explique,
J'ai un site, et un accès membre.
Un membre est de niveau 2 et un admin de niveau 3 par exemple.
Si quelqu'un s'inscrit, et qu'au moment où il se connecte, il interceptait la requête et dans le champs "niveau" mettait 3 au lieu de 2, il serait donc admin, et aurait accès au fonctions d'admin ... Possible ?
Je ne sais pas si je suis clair, mais je demandais si c'était possible. Merci de m'éclairer.
Cordialement
Si un jour, l'envie de travailler te prends, assied-toi et attends que ca passe ...
Les boulets, on ne les aime que dans les quotes ! Merci
Il y'a une réponse que je me pose depuis longtemps déjà :
Est-il possible d'intercepter une requête ?
Je m'explique,
J'ai un site, et un accès membre.
Un membre est de niveau 2 et un admin de niveau 3 par exemple.
Si quelqu'un s'inscrit, et qu'au moment où il se connecte, il interceptait la requête et dans le champs "niveau" mettait 3 au lieu de 2, il serait donc admin, et aurait accès au fonctions d'admin ... Possible ?
Je ne sais pas si je suis clair, mais je demandais si c'était possible. Merci de m'éclairer.
Cordialement
Si un jour, l'envie de travailler te prends, assied-toi et attends que ca passe ...
Les boulets, on ne les aime que dans les quotes ! Merci
A voir également:
- Intercepter une requête
- Erreur de requete facebook - Forum Facebook
- Quelle requête écrire pour demander au moteur de recherche de présenter de préférence les pages web traitant de tennis mais pas de tennis de table ✓ - Forum Java
- L'opérateur ou l'administrateur a refusé la requête ✓ - Forum Windows
- Quelle requête écrire pour demander au moteur de recherche de présenter de préférence les pages web traitant de tennis mais pas de tennis de table ? ✓ - Forum Loisirs / Divertissements
- Requête bloquée par le pare-feu applicatif claranet webfence ✓ - Forum Google Chrome
2 réponses
Si les données sont transferées en GET oui c'est effectivement possible, mais il ne s'agit pas de la requête mais du transfert des données à partir d'un formulaire.
Puisqu'en GET le transfert se fait et s'affiche dans l'URL et qu'il suffit de les modifeir pour changer la valeur.
par exemple
http://www6.truc.com/?tdfs=0&kw=games&term=Play%20Mobile%20Phone%20Games&term=Play%20Online%20Games&term=Play%20PC%20Games&backfill=0
est remplacé par
http://www6.truc.com/?tdfs=0&kw=games&term=Play%20Mobile%20Phone%20Games&term=Play%20Online%20Games&term=Play%20PC%20Games&backfill=0
donc on passe admin...
En post tout se fait sur le serveur donc à moins d'avoir accès au serveur de l'hébergeur...
Mais bon dans le cas qui te préoccupe la question me paraît un peu superflu...
On va jamais demander dans un formulaire lorsqu'il s'inscrit s'il se met en administrateur ou simple membre :s
Ce qui se fait plutôt c'est bien sûr de contrôler si le login et le mot de passe existent et coordonne bien(donc requête sur la base pour contrôler).
Si ce premier test est positif on récupères au passage la valeur du champ "rang" et on enregistres tout ça dans une variable de SESSION. A chaque changement de page destiné au membre on vérifies que la avriable de SESSION existe bel et bien(sinon c'est pas un membre on le renvoies vers une autre page: inscription ou page d'identification, accueill, page d'erreur...).
Si c'est une page réservé à l'administrateur et qu'un membre tente de s'y rendre en tapant directement l'URL on vérifies que la SESSION existe, donc c'est bon mais on vérifies aussi qu'il a bien le rang autorisé donc renvoi vers une autre page.
Mettre le rang dans un formulaire même de type hidden est en effet une faille de sécuité...mais je voit pas pourquoi on en aurait besoin puisque les varde SESSION peuvent le retenir et qu'au pire on peut faire une requête à chaque page pour vérifier si l'utilisateur untel a bien le champ indiquant ses droits correspondant à celui nécessaire.
Puisqu'en GET le transfert se fait et s'affiche dans l'URL et qu'il suffit de les modifeir pour changer la valeur.
par exemple
http://www6.truc.com/?tdfs=0&kw=games&term=Play%20Mobile%20Phone%20Games&term=Play%20Online%20Games&term=Play%20PC%20Games&backfill=0
est remplacé par
http://www6.truc.com/?tdfs=0&kw=games&term=Play%20Mobile%20Phone%20Games&term=Play%20Online%20Games&term=Play%20PC%20Games&backfill=0
donc on passe admin...
En post tout se fait sur le serveur donc à moins d'avoir accès au serveur de l'hébergeur...
Mais bon dans le cas qui te préoccupe la question me paraît un peu superflu...
On va jamais demander dans un formulaire lorsqu'il s'inscrit s'il se met en administrateur ou simple membre :s
Ce qui se fait plutôt c'est bien sûr de contrôler si le login et le mot de passe existent et coordonne bien(donc requête sur la base pour contrôler).
Si ce premier test est positif on récupères au passage la valeur du champ "rang" et on enregistres tout ça dans une variable de SESSION. A chaque changement de page destiné au membre on vérifies que la avriable de SESSION existe bel et bien(sinon c'est pas un membre on le renvoies vers une autre page: inscription ou page d'identification, accueill, page d'erreur...).
Si c'est une page réservé à l'administrateur et qu'un membre tente de s'y rendre en tapant directement l'URL on vérifies que la SESSION existe, donc c'est bon mais on vérifies aussi qu'il a bien le rang autorisé donc renvoi vers une autre page.
Mettre le rang dans un formulaire même de type hidden est en effet une faille de sécuité...mais je voit pas pourquoi on en aurait besoin puisque les varde SESSION peuvent le retenir et qu'au pire on peut faire une requête à chaque page pour vérifier si l'utilisateur untel a bien le champ indiquant ses droits correspondant à celui nécessaire.
