Validation données coté serveur
murielle
-
jordane45 Messages postés 38486 Date d'inscription Statut Modérateur Dernière intervention -
jordane45 Messages postés 38486 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
la validation des données entrées , coté client ( navigateur ) est parfois insuffisante en terme de sécurité . il est recommendé d'utiliser aussi une validation coté serveur pour eviter que les données soient modifié entre le client et le serveur ( avec un outil proxy par exemple )
ce que je comprend pas , c'est le risque et le danger . meme si les données ont été modifiées, qu'est ce qu'il peux se passer ? j'aimerais avoir un exemple sur ce risque svp
Merci
la validation des données entrées , coté client ( navigateur ) est parfois insuffisante en terme de sécurité . il est recommendé d'utiliser aussi une validation coté serveur pour eviter que les données soient modifié entre le client et le serveur ( avec un outil proxy par exemple )
ce que je comprend pas , c'est le risque et le danger . meme si les données ont été modifiées, qu'est ce qu'il peux se passer ? j'aimerais avoir un exemple sur ce risque svp
Merci
Configuration: Windows / Chrome 70.0.3538.102
A voir également:
- Validation données coté serveur
- Fuite données maif - Guide
- Excel validation des données liste - Guide
- Changer serveur dns - Guide
- Excel cette valeur ne correspond pas aux restrictions de validation des données pour cette cellule ✓ - Forum Excel
- Impossible d'utiliser ce numéro de téléphone pour la validation - Forum Gmail
1 réponse
Bonjour,
Penche toi sur les failles d'injection SQL ...
Imagine que tu demande à l'utilisateur d'entrer son adresse mail....
Tu vérifies côté client que l'adresse mail est dans un format valide..... mais lors de l'envoi des données vers le serveur, un code malicieux remplace l'adresse mail par du code SQL malveillant (qui permette d'afficher la liste des administrateurs par exemple )....
Autre exemple, dans un formulaire.. tu as des champs dans lesquelles tu attends des chiffres
mais, là encore, au moment de la transmission des données au serveur, ces valeurs sont remplacées par du text...
ça n'aura peut-être pas d'incidence.... ou alors ça peut planter tes autres scripts (ceux qui servent à faire des calculs par exemple )
bref... des cas d'exemple on peut en trouver pleins..... tout dépend des données attendues et de leur utilisation...
Penche toi sur les failles d'injection SQL ...
Imagine que tu demande à l'utilisateur d'entrer son adresse mail....
Tu vérifies côté client que l'adresse mail est dans un format valide..... mais lors de l'envoi des données vers le serveur, un code malicieux remplace l'adresse mail par du code SQL malveillant (qui permette d'afficher la liste des administrateurs par exemple )....
Autre exemple, dans un formulaire.. tu as des champs dans lesquelles tu attends des chiffres
mais, là encore, au moment de la transmission des données au serveur, ces valeurs sont remplacées par du text...
ça n'aura peut-être pas d'incidence.... ou alors ça peut planter tes autres scripts (ceux qui servent à faire des calculs par exemple )
bref... des cas d'exemple on peut en trouver pleins..... tout dépend des données attendues et de leur utilisation...
mes questions peuvent paraitre betes désolée ,j'ai pas trop de connaissance sur le web et la programmation , Je travaille sur la sécurité d'une application.
Derniere question . j'ai vu que l'utilisateur peux forcer le navigateur a accepter des champs non autorisés en desactivant seulement javascript sur son navigateur ( ainsi le navigateur accepte une adresse mail non valide par exemple ) . cela est vrai ?et comment ça se passe ? est ce que c'est le javascript qui vérifie les entrée ?
Si on désactive le javascript dans le navigateur, ou qu'on édite le code source de la page en "live" à travers la console du navigateur, on peut en effet contourner le code de vérification côté client.
C'est bien pour ça qu'une vérification côté serveur est indispensable....
et puis... tout le monde n'est pas capable d'éditer le code source d'une page ou ne cherche à contourner les protections....
Après .. ça reste un choix "personnel" de n'utiliser que la vérification côté serveur ou non....