Tema: No dejar enviar datos a los archivos de mi web desde páginas externas
Ver Mensaje Individual
  #7 (permalink)  
Antiguo 10/09/2014, 02:58
Avatar de iEnrique
iEnrique
 
Fecha de Ingreso: abril-2013
Ubicación: España
Mensajes: 346
Antigüedad: 11 años
Puntos: 5
Respuesta: No dejar enviar datos a los archivos de mi web desde páginas externas
Siento el doble post pero vengo a proponer algo y es el siguiente código que me he inventado:

Código PHP: 
Ver original
  1. <?php 
  2. session_start();
  3. if(isset($_SESSION["csrf"]) && isset($_COOKIE["csrf"])){
  4.      if(md5($_SESSION["csrf"]) == $_COOKIE["csrf"]){
  5.           unset($_SESSION["csrf"]);
  6.           setcookie("csrf", "", time() - 1);
  7.           $_SESSION["csrf"] = "xxxxx"; //Cada uno de los "x" será un rand(1, 9)
  8.           setcookie ("csrf", md5("xxxxx"), time() + 86400); //Cada uno de los "x" será un rand(1, 9)
  9.           //Pongo que la cookie dure un día, no creo que alguien esté 24h sin hacer ningún cambio y si lo está, le enviará a la página de error.
  10.      }else{
  11.           unset($_SESSION["csrf"]);
  12.           setcookie("csrf", "", time() - 1);
  13.           $_SESSION["csrf"] = "xxxxx";
  14.           setcookie("csrf", md5("xxxxx"), time() + 86400);
  15.           header("Location: error.php");
  16.      }
  17. }else{
  18.      unset($_SESSION["csrf"]);
  19.      setcookie("csrf", "", time() - 1);
  20.      $_SESSION["csrf"] = "xxxxx";
  21.      setcookie("csrf", md5("xxxxx"), time() + 86400);
  22.      header("Location: error.php");
  23. }

¿Este serviría y sería totalmente seguro?

Muchas gracias