Exactement ... Pour résumer ce que te dis Mehdi AMINI : ne jamais se fier aux paramètres (POST, GET, PUSH ...) car ils sont falsifiables !
C'est donc à toi de vérifier que l'utilisateur a effectivement le droit d'accéder à la ressource demandée. Pierre On 2 oct, 17:25, "Mehdi AMINI" <[EMAIL PROTECTED]> wrote: > Salut, > > > La philosophie cakephp veux que l'on passe les paramètres des > > fonctions en GET dans l'URL et non en POST. > > Tu peux passer par post ou par get comme tu veux... > > > Cependant dans le cas ou l'un de ces paramètre correspond à une clé > > dans la base de données , n'importe quel utilisateur peux modifier ce > > paramètre et ainsi accéder à d'autres informations. > > L'utilisateur peut modifier les paramètres POST également... > > > Y a t'il un moyen de sécuriser cela sans pour autant crypter chaque > > paramètre de l'url ? > > La sécurité ne doit pas se faire à ce niveau, mais via des acl par > exemple, ou de la logique dans le controller pour ne laisser > l'utilisateur accéder qu'à ce que tu veux lui laisser accès. > > Mehdi --~--~---------~--~----~------------~-------~--~----~ Groupe "Cakephp-fr". Adresse : [email protected] Pour résilier : [EMAIL PROTECTED] Pour les options : http://groups.google.com/group/cakephp-fr?hl=fr -~----------~----~----~----~------~----~------~--~---
