crud

Signed-off-by: polo <contact@ordipolo.fr>
author: polo <contact@ordipolo.fr> 2021-05-27 22:53:52 +0200
committer: polo <contact@ordipolo.fr> 2021-06-30 22:25:53 +0200
commit: 084cdf0c67e05c63581d2ba211adc3e5d19635de (patch)
tree: 65e91fe8cd8840af1de8d97e2496e8260d0febf4 /index.php
parent: 47d66d5ee1d11afbe01ebc1b92ce0ec58d7c30d8 (diff)
download: melaine-084cdf0c67e05c63581d2ba211adc3e5d19635de.zip
1 files changed, 1 insertions, 1 deletions
diff --git a/index.php b/index.php
index 81d5faf..2d3bcd6 100644
--- a/index.php
+++ b/index.php
@@ -51,7 +51,7 @@ installation();
 // à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
 // ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
-// - solutionq: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
+// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
 // - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
 // - la méthode des jetons, "nonces" et horodatage
 // - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête
author	polo <contact@ordipolo.fr>	2021-05-27 22:53:52 +0200
committer	polo <contact@ordipolo.fr>	2021-06-30 22:25:53 +0200
commit	084cdf0c67e05c63581d2ba211adc3e5d19635de (patch)
tree	65e91fe8cd8840af1de8d97e2496e8260d0febf4 /index.php
parent	47d66d5ee1d11afbe01ebc1b92ce0ec58d7c30d8 (diff)
download	melaine-084cdf0c67e05c63581d2ba211adc3e5d19635de.zip

diff --git a/index.php b/index.php index 81d5faf..2d3bcd6 100644 --- a/index.php +++ b/index.php
@@ -51,7 +51,7 @@ installation();
51		51
52	// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):	52	// à propos des sessions, penser aux attaques CSRF (cross-site request forgery):
53	// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable	53	// ça consite à faire qu'un utilisateur connecté avec une session envoie malgré lui une requête GET ou POST qu'un hacker aura cachée par exemple dans une fausse image clicable
54	// - solutionq: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript	54	// - solution: faire qu'un GET seul dans une session ne suffise pas à effectuer une action (les GET ne doivent servir qu'à afficher la bonne page), une attaque sur un POST nécessite d'injecter du javascript
55	// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant	55	// - on peut demander à l'utilisateur une vérification supplémentaire avant chaque action, mais c'est plutôt chiant
56	// - la méthode des jetons, "nonces" et horodatage	56	// - la méthode des jetons, "nonces" et horodatage
57	// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête	57	// - vérifier le "référent", c'est à dire l'URL de la page d'où vient normallement la requête