[Ajax] script post ou get ? précision

[ZelkiN]

Bonjour, voici le code que j'utilise pour passer des infos formulaire. (script de test)

<script type="text/javascript">

function maFonctionAjax(Id, Nom, third)
{
  var OAjax;
  if (window.XMLHttpRequest) OAjax = new XMLHttpRequest();
  else if (window.ActiveXObject) OAjax = new ActiveXObject('Microsoft.XMLHTTP');
  OAjax.open('POST',"traitement.php",true);
  OAjax.onreadystatechange = function()
  {
      if (OAjax.readyState == 4 && OAjax.status==200)
      {
          if (document.getElementById)
          {   
              if (OAjax.responseText =='true') { /* OK */
                    document.getElementById('msg').innerHTML='<font color=GREEN>'+OAjax.responseText+'</font>';
              }else{                             /* PAS OK */
                    document.getElementById('msg').innerHTML='<font color=RED>'+OAjax.responseText+'</font>';
              }
          }     
      }
  }
  OAjax.setRequestHeader('Content-type','application/x-www-form-urlencoded');
  OAjax.send('Id='+Id+'&Nom='+Nom+'&third='+third);                 
} 
</script>

J'aimerais savoir si les valeur Id, Nom, et third sont bien transmis par POST, autrement dit qu'elle ne peuvent pas être intercepter, ou elle sont envoyé par get car je vois ca : " OAjax.send('Id='+Id+'&Nom='+Nom+'&third='+third); "

?

merci

 

[Bool]

Hello,

je te conseille d'utiliser des outils de "débugage" : LiveHTTPHeaders tout comme Firebug par exemple, deux extensions pour Firefox t'indiquent très facilement ce genre de chose.

Dans tous les cas que ce soit du POST, du GET, voir même des COOKIE c'est parfaitement interceptable et falsifiable.

 

[ZelkiN]

ok je l'ai installé, est ce que ce code vous semble sécurisé ou pas ? sachant que mon onsbumit sur mon form ressemble à ca:

<form method="post" onsubmit="maFonctionAjax(this.Id.value,this.Nom.value,this.third.value);return false" action="">....

Concernant ma page php j'ai toutes les vérif nécéssaire de ce coté la, enfaite je voudrais savoir si il n'y a pas de "faille" dans ce code js ?

 

[seebz]

Les données sont bien envoyés en POST :

OAjax.open('POST',"traitement.php",true);

Quand à la sécurité, tu dois ne peut rien faire de plus que vérifier coté serveur car rien n'empêche quelqu'un de modifier (en local) ton code et te soumettre des données falsifiées.

un peu de lecture : Guide de Sécurité PHP: Traitement des formulaires

 

[ZelkiN]

ok merci beaucoup, alors je vais gérer la sécurité au niveau de PHP ^^ enfaite je voulais faire les 2 mais bon