campos hidden, readonly no seguros

lizfranco · #1 (**permalink**) 13/06/2005, 11:12

Hola todos,

Estaba leyendo un articulo http://www.cgisecurity.com/owasp/html/ch11s04.html y me surgio la siguiente duda.

Tengo un formulario para editar informacion. El usuario entra y consultando en la base de datos traigo el username, y algunos datos como pais, unos true/false y los pongo disabled o readonly para que no los editen.

El formulario recarga para hacer el guardado de datos.

pero leyendo este articulo me di cuenta que tener campos hidden, disabled o readonly no son seguros. Es decir, esto no me garantiza que un campo como

Código PHP:

 
<input type="checkbox" name="moderator" value="1" <? if ($currentAdministrator->getModerator() == "1"){echo "checked";}?> disabled>

esto no me garantiza que la variable tome el valor apropiado. con solo quitarle el disabled puede irse con el valor que el usuario cambie.

Como puedo verificar la seguridad en mis formularios?

Gracias de antemano,
Liz

Cluster · #2 (**permalink**) 14/06/2005, 19:58

Nunca te puedes fiar del "lado del cliente" .. Es decir ..de los datos que viajaran en un formulario como es tu caso.

Ese dato deber mostrarlo si lo requieres a título informativo ..pero nunca usarlo para la transacción en sí. Es decir .. en tu script.php de proceso es donde tener esa variable ya con ese valor y obtenerlo ahí .. ya sea por qué esa variable la propagues en una variable de sesión por ejemplo .. o por qué a base de una consulta SQL por ejemplo lo obtengas por otro lado.

En tu ejemplo ...
$currentAdministrator->getModerator()

ahí obtienes dicho dato .. Usalo en ese script como "información" pero descartalo en tu script de proceso y vuelvelo a tomar como corresponda (o bien de ese script al siguiente lo propagas en una variable de sesión .. eso sólo o todo ese objeto si lo requieres).

Un saludo,