arcanis

Les cookies sont autant protégés que les variables passées par GET ou POST. Suffit de faire une recherche sur les extensions Firefox qui permettent de les modifier. Seuls les variables de sessions sont véritablement sûres. Et encore, si on réussis à accéder au répertoire auquel elles sont enregistrées, on est pas dans la m*rde V'là un p'tit site que j'ai récupéré avant-hier qui donne une liste des failles XSS (non exaustive, bien sûr): http://ha.ckers.org/xss.html Comme tu l'as dit, il est très déconseillé de donner une information visible par tous. Par exemple, mon script utilise l'id d'activation qui est caché dans la base de donnée. Dans "respecter la norme", rajoute qu'il vaut également préférer <?php à <% et explique la raison (<? et <% sont gérés par des directives de configurations. Si elles ne sont pas activées...t'est foutu :-)). Et t'a aussi raison sur le dernier paragraphe: faut tous faire soi-même! C'est bien mieux: t'apprends et tu connais ton code (donc c'est plus facile de le débugguer). edit: histoire d'améliorer la vitesse du script, il vaut mieux utiliser if() { } elseif() { ... } elseif()... au lieu de switch