Ouvrir une page https avec des donnees en POST

Le
Anrael
Bonjour,

j'ai une page avec un formulaire, permettant la saisie de quelques données
et abritant actuellement une petite floppée de valeurs cachées. Les données
doivent être envoyées en POST à un site https.

J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page html,
car elles sont facilement accessibles si on affiche la source. Je souhaite
donc envoyer les données à une page php, qui complète les données saisies
avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant les
données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement, j'obtiens
l'erreur :
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.

Quelqu'un aurait une idée, avant que je désactive l'affichage de la source
(mais c'est moins fun) ?


Le code utilisé :
// Création d'une instance de cUrl
$aCUrl = curl_init();

curl_setopt($aCUrl, CURLOPT_URL, "https://www.siteglop.com");
curl_setopt($aCUrl, CURLOPT_SSLVERSION, 3);
curl_setopt($aCUrl, CURLOPT_POST, 1);
curl_setopt($aCUrl, CURLOPT_POSTFIELDS, $sData);
curl_setopt($aCUrl, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($aCUrl, CURLOPT_USERAGENT, $defined_vars['HTTP_USER_AGENT']);
// C'est parti
curl_exec($aCUrl);

$sErr = curl_error($aCUrl);

// Nettoyage
curl_close($aCUrl);

printf($sErr);
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Olivier
Le #69947
Bonjour,

j'ai une page avec un formulaire, permettant la saisie de quelques données
et abritant actuellement une petite floppée de valeurs cachées. Les données
doivent être envoyées en POST à un site https.

J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page html,
car elles sont facilement accessibles si on affiche la source. Je souhaite
donc envoyer les données à une page php, qui complète les données saisies
avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant les
données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement, j'obtiens
l'erreur :
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.


Il y a du https chez free ?


Quelqu'un aurait une idée, avant que je désactive l'affichage de la source
(mais c'est moins fun) ?


Je suis curieux : soit j'ai mal compris la phrase soit je suis très
intéressé par ta méthode.

--
Olivier
- Parce que sinon cela rompt le cours normal de la conversation.
- Pourquoi répond on après la question ?

Anrael
Le #69946
Bonjour,

j'ai une page avec un formulaire, permettant la saisie de quelques
données


et abritant actuellement une petite floppée de valeurs cachées. Les
données


doivent être envoyées en POST à un site https.

J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page
html,


car elles sont facilement accessibles si on affiche la source. Je
souhaite


donc envoyer les données à une page php, qui complète les données
saisies


avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant
les


données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement,
j'obtiens


l'erreur :
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.


Il y a du https chez free ?


J'aurais dû me douter en écrivant ce post à 6h du matin après une nuit
blanche qu'il manquerait de clarté -_-
Non, Free héberge mon site avec la page permettant la saisie des données.
Le site https (paypal, soyons précis) que je désire ouvrir et à qui je veux
envoyer les data en post, est hébergé je-ne-sais-où mais pas chez Free. Chez
Paypal je suppose ^^


Quelqu'un aurait une idée, avant que je désactive l'affichage de la
source


(mais c'est moins fun) ?


Je suis curieux : soit j'ai mal compris la phrase soit je suis très
intéressé par ta méthode.


Ma foi, mon problème vient d'une petite touche de parano : je ne veux pas
mettre les data supplémentaires dans la page html parce qu'il est trop
simple à mon goût d'afficher la source de la page, et donc de pouvoir lire
les "input hidden" de la form. Si je n'arrive pas à mes fins, je me
contenterai de désactiver le clic droit de la souris, et utiliserai
classiquement la form et ses multiples champs cachés. Après tout, ça
concerne une petite association de quartier, pas un site marchand ni
bancaire ^^;

Pas d'idée sinon ?

--
Olivier


Diantre, je le savais pourtant ^^
- Parce que sinon cela rompt le cours normal de la conversation.
- Pourquoi répond on après la question ?


--
Anrael
Les élucubrations de la loutre endormie sont impuissantes face à la colère
du dragon aux ailes cendrées.


Olivier Miakinen
Le #69945
Je pensais avoir la solution en utilisant cUrl. Malheureusement,
j'obtiens l'erreur :
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol




Je n'ai pas encore utilisé CURL en PHP, ni lu la doc. Mais voici déjà
quelques idées :
1) essayer avec "https://www.siteglop.com/" qui est une URL plutôt que
"https://www.siteglop.com" qui s'arrête au nom de domaine ;
2) vérifier le contenu de $sData et $defined_vars['HTTP_USER_AGENT'].

Ma foi, mon problème vient d'une petite touche de parano : je ne veux pas
mettre les data supplémentaires dans la page html parce qu'il est trop
simple à mon goût d'afficher la source de la page, et donc de pouvoir lire
les "input hidden" de la form.


Si ces données doivent être cachées, pourquoi ne pas les chiffrer ?
Selon le degré de confidentialité cherché, un simple masquage par XOR
pourrait suffire. En tout cas, tu as raison, il est très facile de lire
le code source.

Si je n'arrive pas à mes fins, je me
contenterai de désactiver le clic droit de la souris, et utiliserai
classiquement la form et ses multiples champs cachés.


Là en revanche tu as tort. Il est tout aussi facile de voir le code
source sans clic droit (Ctrl+U dans Mozilla et Firefox sur Windows,
"Affichage>Code source" dans la plupart des navigateurs), et tu vas
te mettre à dos tous tes visiteurs qui ont des zillions de trucs
intéressants à faire avec le clic droit.



JC_E
Le #69943

Non, Free héberge mon site avec la page permettant la saisie des données.
Le site https (paypal, soyons précis) que je désire ouvrir et à qui je veux
envoyer les data en post, est hébergé je-ne-sais-où mais pas chez Free. Chez
Paypal je suppose ^^


Il existe un systeme de cryptage chez Paypal
suivre l'aide sur leur site

--
Click here to answer / cliquez ci dessous pour me repondre
http://cerbermail.com/?ZhznliAh4V

Filip Supera
Le #69942
'jour,



Pas d'idée sinon ?


Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.

Michael DENIS
Le #69651
Le 26 Mar 2007 10:55:58 GMT, Filip Supera

Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.


Si j'ai bien suivi, la page de réception n'est pas sur le site de
l'auteur, et c'est tout le problème.

Sinon, il faudrait envoyer le contenu du formulaire sur une page
"interne" et pouvoir ensuite "auto-envoyer" un formulaire qui
comprendrait les données complémentaires. Mais je ne suis pas sûr que
cette étape soit possible...

--
Michaël DENIS

Olivier Miakinen
Le #69650

Si ces données doivent être cachées, pourquoi ne pas les chiffrer ?
Selon le degré de confidentialité cherché, un simple masquage par XOR
pourrait suffire.


Pardon, je viens de réaliser (surtout en lisant la réponse de Michael)
que tu n'as pas accès à ce qui se passe sur le serveur qui est chez paypal.

Mais du coup, autre question : puisque paypal lui-même ne considère
pas ces données comme suffisamment sensibles pour les cacher, pourquoi
serais-tu plus royaliste que le roi ? Si c'était vraiment un trou de
sécurité, je pense qu'on en aurait déjà entendu parler, non ?

Filip Supera
Le #69648
Le 26 Mar 2007 10:55:58 GMT, Filip Supera

Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.


Si j'ai bien suivi, la page de réception n'est pas sur le site de
l'auteur, et c'est tout le problème.


Ah oui, c'est vrai ! En fait je suppose que si ces variables sont
visibles dans le code proposé par Paypal, c'est qu'elles ne constituent
pas un problème potentiel.


Sinon, il faudrait envoyer le contenu du formulaire sur une page
"interne" et pouvoir ensuite "auto-envoyer" un formulaire qui
comprendrait les données complémentaires. Mais je ne suis pas sûr que
cette étape soit possible...


Oui, trop complexe.


Anrael
Le #66541
Hop,

merci pour toutes vos réponses.
Je vais me faire (une toute petite) violence, être raisonnable et laisser
tel quel.
Publicité
Poster une réponse
Anonyme