Foros del Web » Programando para Internet » PHP »

campos hidden, readonly no seguros

Estas en el tema de campos hidden, readonly no seguros en el foro de PHP en Foros del Web. Hola todos, Estaba leyendo un articulo http://www.cgisecurity.com/owasp/html/ch11s04.html y me surgio la siguiente duda. Tengo un formulario para editar informacion. El usuario entra y consultando en ...
  #1 (permalink)  
Antiguo 13/06/2005, 12:12
 
Fecha de Ingreso: abril-2003
Mensajes: 150
Antigüedad: 14 años, 8 meses
Puntos: 1
campos hidden, readonly no seguros

Hola todos,

Estaba leyendo un articulo http://www.cgisecurity.com/owasp/html/ch11s04.html y me surgio la siguiente duda.

Tengo un formulario para editar informacion. El usuario entra y consultando en la base de datos traigo el username, y algunos datos como pais, unos true/false y los pongo disabled o readonly para que no los editen.

El formulario recarga para hacer el guardado de datos.

pero leyendo este articulo me di cuenta que tener campos hidden, disabled o readonly no son seguros. Es decir, esto no me garantiza que un campo como

Código PHP:
<input type="checkbox" name="moderator" value="1" <? if ($currentAdministrator->getModerator() == "1"){echo "checked";}?> disabled>
esto no me garantiza que la variable tome el valor apropiado. con solo quitarle el disabled puede irse con el valor que el usuario cambie.

Como puedo verificar la seguridad en mis formularios?

Gracias de antemano,
Liz
  #2 (permalink)  
Antiguo 14/06/2005, 20:58
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Nunca te puedes fiar del "lado del cliente" .. Es decir ..de los datos que viajaran en un formulario como es tu caso.

Ese dato deber mostrarlo si lo requieres a título informativo ..pero nunca usarlo para la transacción en sí. Es decir .. en tu script.php de proceso es donde tener esa variable ya con ese valor y obtenerlo ahí .. ya sea por qué esa variable la propagues en una variable de sesión por ejemplo .. o por qué a base de una consulta SQL por ejemplo lo obtengas por otro lado.

En tu ejemplo ...
$currentAdministrator->getModerator()

ahí obtienes dicho dato .. Usalo en ese script como "información" pero descartalo en tu script de proceso y vuelvelo a tomar como corresponda (o bien de ese script al siguiente lo propagas en una variable de sesión .. eso sólo o todo ese objeto si lo requieres).

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:22.