Cita:
Iniciado por fbedia 
Yo orientaría la solución por otro lado, ya que también pueden llegarte tanto peticiones $_post como $_get manipuladas desde tu propio servidor.
Lo que deberias de hacer en la pagina que procesas las variables, seria filtrar cada una de elllas... por ejemplo:
Código PHP:
if(isset($_POST['nombre']) && isset($_POST['apellidos']) && isset($_POST['campo3']) && isset($_POST['campo4'])) {
//validacion del nombre
if(strlen($_POST['nombre'])>=3 && strlen($_POST['nombre'])<=30) {
//otras validaciones.. por ejemplo una expresion regular para validar solo qe contenta texto... etc
} else {
echo "nombre erroneo.. fallo en logitud";
}
}
Si te fijas en el codigo anterior, primero validamos con un isset() que las variables esperadas existen.
Por otro lado, yo te he puesto un ejemplo con la varianle $_POT['nombre'], pero deberias hacerlo con cada una de las variables:
- valida la logitud de las cadenas dentro de un rango estimado.
- valida el tipo de variable, por ejemplo con una extesion regular... o mediante funciones propias de php, por ejemplo si esperas un numero haz un if(ctype_digit($_POST['edad'])).... o si esperas un email, hay muchas funciones por google para validar el formato email...
Espero haberte ayudado!
Salu2
Gracias, pero el problema es que el campo que ha sido vulnerado es "tarifas" entonces, evidentemente ahi no puedo parametrar demasiado...
por otro lado me gustaría que me expliques cómo es eso que podrían hacer request "desde mi servidor" ? como es eso posible ? gracias