Bonjour j'ai récemment appris à m'en servir et je suis en train de l'implémenter dans un projet.

Je viens de me rendre compte que il est possible de modifier le JS pour il mettre de fausses informations. On pourrait faire un fake user en modifiant l'id FB juste avant de le stocker en BDD. Mais le pire c'est la picture, si on stocke dans la BDD une autre url que celle de l'image d'origine, au moment on affiche l'image on pourrait faire exécuter du code (?)

Je pense que la solution serait de ne pas stocker l'url de l'image en BDD mais de faire la requête directement à FB à chaque fois que il faut l'afficher. Pas de problème quand l'user est connecté (on garde l'id FB en session) mais quand il ne l'ai pas ?

Si un user non connecté veut voir le profil d'un user inscrit avec facebook pour voir sa photo il ne peut pas.

À moins que il y ait une fonctionnalité api pour demander la photo d'une personne en fonction de son ID Facebook.

Sinon il faudrait s'assurer de la conformité de l'image avant de l'envoyer en BDD. Je sais faire ça avec un formulaire d'upload mais pas avec une url...

Merci de vos éventuels conseils.

-
Edité par itachî 13 février 2019 à 16:22:26