the_bigboo a écrit :
le truc c'est que j'emploie des expressions regulieres directement extraites de mes objets PHP, et que les laisser a vue des internautes pourrait constituer une faille.
|
Si on pousse le raisonnement plus loin, ton développement est problématique : à partir du moment où tu sers le fichier en HTTP, le client le verra (et pourra en afficher le contenu), quelle que soit la protection que tu mets en place (cache ou pas cache, variable de session ou pas variable de session, temporary files ou pas). Donc la faille est déjà présente.
Si ton information est critique pour la sécurité de ton site, elle ne doit pas être affichée en HTTP (HTTPS ne résoud pas le problème), et ne doit pas sortir de ton serveur.
Si tu dois valider l'entrée de tes formulaires, cela doit être fait sur le serveur de toutes façons (la validation en JS est complémentaire, et ne doit être vue que comme une aide à l'internaute).
(Pour ceux que ça intéresse, voici deux outils qui permettent de sniffer le traffic HTTP : TraceWeb, Ethereal. Il y en a d'autres)
Message édité par jfbus le 30-05-2006 à 09:46:26
---------------
ipersec - Optimisation et sécurisation de sites internet