30/08/2004, 13:34
| |||
| |||
 como se hace para que no se vean los parámetros pasados en la barra de direcciones Hola a todos. Mi duda es la siguiente: Tengo una página de inicio donde el usuario debe meter el nombre de usuario y la password. El problema está en que cuando trato el formulario(en otra página) utilizando tanto el método POST O GET para mandar las variables 'usuario' y 'password' se me ven en la URL(en la barra de direcciones) el valor de los campos. (ESTO ES UN FALLO DE SEGURIDAD MUY GORDO). ¿Como se hace para que no se vean los valores que paso a la página de validación? |
|
30/08/2004, 13:42
| ||||
| ||||
| Saludos. Los datos que estas mandando en tu Form, deben tener Method=POST si no quieres que pasen por el URL. Recuerda que tienes el archivo 1.php donde esta el formulario. Donde comienza el FORM debes indicar el metodo a usar. Si colocas GET las variables que estas pidiendo en ese form pasaran por el URL y serán visibles a todos. Suerte
__________________ José Molina La marginalidad no esta en la incapacidad de calmar el hambre de un estómago sino en la incapacidad de calmar el hambre de la mente. Última edición por José Molina; 30/08/2004 a las 13:44 |
|
30/08/2004, 17:05
| ||||
| ||||
| Cita: Eso no es cierto... lo que verá es el nombre de las variables... pero no su valor.
Iniciado por Elalux Solo ten en cuenta que aun utilizando POST si alguien ve el código de tu página donde esta el fomulario puede ver los prámetros enviado también. En cambio cuando se envían por URL, se ve una cadena (query string) así var1=valor1&var2=valor2... o sea, usuario=jpinedo&password=Rem15jPi58 Cita: Si recoges tus variables en el script de validación como $_POST['usuario'] y $_POST['password'] (en lugar de $usuario y $password), no tendrás problemas con la directiva register globals. O sea, no importa si está en ON o en OFF, porque muchas veces eso no depende de tí, sino de quienes tienen acceso a la configuración del servidor.
Iniciado por plasmahba Si vas a usar ese método revisa que tus Global_registers esten apagadas Saludos  |
|
30/08/2004, 21:43
| |||
| |||
| No te debería preocupar tanto que esos datos se vean en el URL del usuario (-una vez sólo- .. ¿espero que uses cookies o sesiones para no tener que andar propagando esos datos de usuario/password en todos los scripts de tu aplicación?). (bueno .. a efectos de cachés de navegadores y demás .. mejor usar POST para evitar eso mismo). Te debería preocupar que esos datos pueden ser capturados/"cacheados" en todo momento si no pasas tu conexión "cliente->servidor" por algúna capa segura como es SSL (Secure Socket Layer si no me falla el ingles y mi memoria). Mediante SSL todo viajará encriptado (entre cliente <-> servidor) Un saludo, |
