Le Security component evite le hack des posts. J'avais developper (c'est sur bakery) un SecureGet component qui genere un clef liee a la session et aux parametres passes dans l'Url. Il fate un peu, il faut que je le mette a jour pour tenir compte des named parameters... Evidemment, comme mentionne dans les autre reponses, l'ACL est le securite maximum
On Oct 2, 5:51 pm, Pierre MARTIN <[EMAIL PROTECTED]> wrote: > Exactement ... > Pour résumer ce que te dis Mehdi AMINI : ne jamais se fier aux > paramètres (POST, GET, PUSH ...) car ils sont falsifiables ! > > C'est donc à toi de vérifier que l'utilisateur a effectivement le > droit d'accéder à la ressource demandée. > Pierre > > On 2 oct, 17:25, "Mehdi AMINI" <[EMAIL PROTECTED]> wrote: > > > Salut, > > > > La philosophie cakephp veux que l'on passe les paramètres des > > > fonctions en GET dans l'URL et non en POST. > > > Tu peux passer par post ou par get comme tu veux... > > > > Cependant dans le cas ou l'un de ces paramètre correspond à une clé > > > dans la base de données , n'importe quel utilisateur peux modifier ce > > > paramètre et ainsi accéder à d'autres informations. > > > L'utilisateur peut modifier les paramètres POST également... > > > > Y a t'il un moyen de sécuriser cela sans pour autant crypter chaque > > > paramètre de l'url ? > > > La sécurité ne doit pas se faire à ce niveau, mais via des acl par > > exemple, ou de la logique dans le controller pour ne laisser > > l'utilisateur accéder qu'à ce que tu veux lui laisser accès. > > > Mehdi --~--~---------~--~----~------------~-------~--~----~ Groupe "Cakephp-fr". Adresse : [email protected] Pour résilier : [EMAIL PROTECTED] Pour les options : http://groups.google.com/group/cakephp-fr?hl=fr -~----------~----~----~----~------~----~------~--~---
