[BAAL]

Petite question dont j'ai une petite idee de la reponse... Est ce qu il est possible pour un utilisateur de modifier la valeur d'un input de type HIDDEN dans un formulaire html? C'est a dire qu on ne veut pas que l utilisateur voit ce qu il envoie, il n'a meme pas besoin de savoir qu'il l'envoie, et il ne doit bien sur pas pouvoir modifier cela.
(ce qu'il envoie est generé par php, exemple: value = "<?php echo $secret; ?>")
C'est possible de tout de meme modifier, par exemple en copiant le code chez soit, et en executant la page en local???

[zours]

Bah oui. Le POST, c'est des données que tu envoies. Ca se trafique très facilement.
Principe de base : toute donnée qui passe du côté de l'utilisateur est potentiellement dangereuse et devra être vérifiée. Le POST et le GET en font partie.
Il y a quelques (mauvaises) sécurités, comme par exemple le REFERER, qui permet une protection basique de l'exécution locale, mais là encore, ça se modifie facilement .

[Zmx]

Si tu a besoin de faire ce que tu dit, mets "secret" en session.

[4n0n1m3]

oui très facile à modifié, avec l'extension Tamper Data de firefox c'est simple
prend cette extension si tu veut tester la sécurité d'un formulaire