Post javascript pierde variables

Shaito · #1 (**permalink**) 17/09/2011, 05:03

Hola!

Como dice el título, cuando uso un form para enviar un par de datos junto a javascript para no recargar toda la web, tengo el fallo de que las variables no se reciben.

La variable más importante sería una session. Los datos del form se reciben con normalidad, y si en el form uso un campo para obtener el session, al enviarlo lo recibo correctamente.

El problema de este método es que cualquier usuario con conocimientos mínimos de informática que sepa darle al f12 en chrome, puede editar la propiedad de ese campo y cambiar así el valor que recibe el post.

Les dejo algo de code para orientarlos:

Código PHP:

  <? if($_POST['voto']==1){ 
    $user_name=$_SESSION["s_username"]; 
        mysql_query("INSERT INTO votos (usuario,votos,url)VALUES('$user_name','$apk_user_votos','$url_apk')") or die($error);     
        mysql_query("UPDATE aplicacion SET votos='$apk_votos' WHERE url='$apk_url'") or die($error);     
        echo'Votado'; 
} 
else{ ?> 
<form method="post" action="ficha.php" id="form_voto" > 
    <input type="hidden"   name="voto" value="1" /> 
    <input type="submit"   name="mysubmit" value="Enviar" /> 
</form> 
<? }

Espero que me puedan ayudar

Un saludo

Panino5001 · #2 (**permalink**) 17/09/2011, 06:12

Yo diría que cualquier usuario con un conocimiento mínimo de html puede construir un formulario con los datos que quiera y apuntarlo con ruta absoluta a tu página de proceso (ficha.php) y lograr lo mismo. Estamos en lo mismo de siempre: la seguridad hay que manejarla en el servidor: con javascript no podés solucionarlo.
Un problema conocido cuando se realizan juegos en javasript, por ejemplo, es que el guardado de scores en base de datos siempre queda con algún agujero debido a que no hay manera fiable de evitar fraudes durante el intercambio con el servidor. Lo único que queda es minimizar ese riesgo con algunas técnicas heurísticas, obfuscación y tokens.
En tu caso en particular, quizá es un poco más sencillo porque si es un sistema de votos basta con controlar que el valor no supere a x número (cosa que parece que estás controlando, aunque deberías usar isset además de lo que estás utilizndo), que una misma ip no pueda votar más de x veces (no es del todo fiable pero ayuda), que el tiempo de votación no supere x cantidad de tiempo y usar tokens para evitar CSRF.

Shaito · #3 (**permalink**) 17/09/2011, 07:16

OK muchas gracias Panino5001

Tomaré todos tus consejos y los usaré, lo que no se muy bien es cómo hacer la validación de tokens, pero tengo una ligera idea.

Un saludo