04/04/2012, 05:00
| |||
| |||
| Estos es suficiente para seguridad en $_POST Hola a tod@s! Estaba ahora programando y me preguntaba si segun ustedes esto es suficiente para protejer los datos que llegan por $_POSt
Código PHP:
Ver original La idea es que no salga ningun error, pero que no se pueda hacer nada malo en la web, luego las validaciones hare cada una con javascript para que recibir mas o menos la informacion como me gustaria recibirla. Que opinan? Salu2! Gracias!
__________________ Bruno Quintana |
|
04/04/2012, 05:44
| ||||
| ||||
| Respuesta: Estos es suficiente para seguridad en $_POST Javascript se puede desactivar. Un ataque no necesariamente puede ser desde tu WEB. Un formulario puede ser enviado de cualquier lugar. De que te sirve cambiar los caractes/simbolos, si al intentar utilizarlos en una funcion o query, te va tirar error. Importante: Javascript puede ser un Murallon para el usuario de tu web, pero al usuario con malas intenciones o robots, javascript es solo una piedra. Como programador PHP tienen que entender eso. Si conoces el contenido de cada variable proveniente del formulario, busca funciones, crea reglas y condiciones para evitar el ataque. Todo desde PHP. Espero que te sirva. |
|
04/04/2012, 06:12
| |||
| |||
| Respuesta: Estos es suficiente para seguridad en $_POST SIrDuke muchas gracias por tu respuesta. Normalmente hago como vos decís, pero, esta web es multi-idioma, eso seria que por ejemplo, para un nombre tendría que habilitar también a-zA-zñ.' para un comentario: a-zA-Zñ.:;-_'"(todos los símbolos de moneda) No se creo que serian tantas variables, que tal vez podría dar un error a un cliente vago y que por no cambiar su mensaje perder su solicitación de presupuesto. Por eso pensé que tal vez la mejor manera seria con php, transformar todo a algo que no sea peligroso como es htmlspecialchars y después, quitar // \\ y escapar de carácter y después cortar el string a 100 si es nombre email telefono etc y 255 si es comentario, de esa manera recibo siempre la solicitud y con java script solo compruebo que no sea muy largo o muy corto el string. Entonces, también sabiendo que los $_post pueden llegar desde ningún lugar y con exploit en PERL o Python te saltas todos los filtros en javascript, pero en este caso estaría transformando lo que llega por $_POST para hacerlo inofensivo.
__________________ Bruno Quintana |
|
04/04/2012, 06:18
| ||||
| ||||
| Respuesta: Estos es suficiente para seguridad en $_POST Capaz htmlentities() te sea de mas utilidad. xD! |
|
04/04/2012, 06:42
| |||
| |||
| Respuesta: Estos es suficiente para seguridad en $_POST Por eso preguntaba! ;) Gracias! Igualmente ya le hare otro test con acutenix despues de parchear todo. Saludos! Y gracias!
__________________ Bruno Quintana |
| Etiquetas: |
