Tema: evitar hackeo por envio de variables ($_post)
Ver Mensaje Individual
  #6 (permalink)  
Antiguo 05/01/2018, 17:32
jiten
 
Fecha de Ingreso: febrero-2008
Mensajes: 409
Antigüedad: 16 años, 2 meses
Puntos: 2
Respuesta: evitar hackeo por envio de variables ($_post)
Cita:
Iniciado por ArturoGallegos Ver Mensaje
No importa que campo sea el vulnerado, siempre debes validar el valor recibido, por ejemplo dices que es un campo para tarifas, he de pensar que es valor numérico, con lo cual podrías validar con

Código PHP: 
Ver original
  1. if(isset($_POST['tarifa']) && is_float($_POST['tarifa'])){
  2. ....
  3. }else{
  4. return 'error';
  5. }

o tambien puedes hacer lo contrario
Código PHP: 
Ver original
  1. if(!isset($_POST['tarifa']) || !is_float($_POST['tarifa'])){
  2. return 'error';
  3. }
  4. //aqui tu codigo para procesar la info

si no es numérico podrías validar con una expresión regular

Creo que no me he dejado entender. Es claro que puedo validar ( y valido) los datos... pero ese no es el problema... porque al final quien quiera hackear igual pone un valor numérico y ya... igual logra cambiar el valor... por ejemplo en el caso que menciono, los precios estaban en 15 y todos fueron cambiados a 5. Evidentemente no puedo simplemente restringir a un solo dígito o dos porque la idea es que siempre tenga la posibilidad de cambiar mis precios como quiera. Lo que estoy tratando de evitar es que lo haga otra persona desde otro servidor creando simplemente un form con los mismos nombres de variable POST