Foros del Web » Programando para Internet » PHP »

Estos es suficiente para seguridad en $_POST

Estas en el tema de Estos es suficiente para seguridad en $_POST en el foro de PHP en Foros del Web. Hola a [email protected]! Estaba ahora programando y me preguntaba si segun ustedes esto es suficiente para protejer los datos que llegan por $_POSt @import url("http://static.forosdelweb.com/clientscript/vbulletin_css/geshi.css"); ...
  #1 (permalink)  
Antiguo 04/04/2012, 06:00
 
Fecha de Ingreso: mayo-2004
Mensajes: 102
Antigüedad: 15 años, 9 meses
Puntos: 5
Estos es suficiente para seguridad en $_POST

Hola a [email protected]!
Estaba ahora programando y me preguntaba si segun ustedes esto es suficiente para protejer los datos que llegan por $_POSt



La idea es que no salga ningun error, pero que no se pueda hacer nada malo en la web, luego las validaciones hare cada una con javascript para que recibir mas o menos la informacion como me gustaria recibirla.

Que opinan?
Salu2! Gracias!
__________________
Bruno Quintana
  #2 (permalink)  
Antiguo 04/04/2012, 06:44
Avatar de SirDuque  
Fecha de Ingreso: febrero-2009
Ubicación: Paso del Rey, Buenos Aires, Argentina
Mensajes: 975
Antigüedad: 11 años
Puntos: 89
Respuesta: Estos es suficiente para seguridad en $_POST

Javascript se puede desactivar.
Un ataque no necesariamente puede ser desde tu WEB. Un formulario puede ser enviado de cualquier lugar.

De que te sirve cambiar los caractes/simbolos, si al intentar utilizarlos en una funcion o query, te va tirar error.

Importante:

Javascript puede ser un Murallon para el usuario de tu web, pero al usuario con malas intenciones o robots, javascript es solo una piedra. Como programador PHP tienen que entender eso. Si conoces el contenido de cada variable proveniente del formulario, busca funciones, crea reglas y condiciones para evitar el ataque. Todo desde PHP.

Espero que te sirva.
__________________
Mono programando!
twitter.com/eguimariano
  #3 (permalink)  
Antiguo 04/04/2012, 07:12
 
Fecha de Ingreso: mayo-2004
Mensajes: 102
Antigüedad: 15 años, 9 meses
Puntos: 5
Respuesta: Estos es suficiente para seguridad en $_POST

SIrDuke muchas gracias por tu respuesta. Normalmente hago como vos decís, pero, esta web es multi-idioma, eso seria que por ejemplo, para un nombre tendría que habilitar también a-zA-zñ.'
para un comentario: a-zA-Zñ.:;-_'"(todos los símbolos de moneda)
No se creo que serian tantas variables, que tal vez podría dar un error a un cliente vago y que por no cambiar su mensaje perder su solicitación de presupuesto.
Por eso pensé que tal vez la mejor manera seria con php, transformar todo a algo que no sea peligroso como es htmlspecialchars y después, quitar // \\ y escapar de carácter y después cortar el string a 100 si es nombre email telefono etc y 255 si es comentario, de esa manera recibo siempre la solicitud y con java script solo compruebo que no sea muy largo o muy corto el string.
Entonces, también sabiendo que los $_post pueden llegar desde ningún lugar y con exploit en PERL o Python te saltas todos los filtros en javascript, pero en este caso estaría transformando lo que llega por $_POST para hacerlo inofensivo.
__________________
Bruno Quintana
  #4 (permalink)  
Antiguo 04/04/2012, 07:18
Avatar de SirDuque  
Fecha de Ingreso: febrero-2009
Ubicación: Paso del Rey, Buenos Aires, Argentina
Mensajes: 975
Antigüedad: 11 años
Puntos: 89
Respuesta: Estos es suficiente para seguridad en $_POST

Capaz htmlentities() te sea de mas utilidad. xD!
__________________
Mono programando!
twitter.com/eguimariano
  #5 (permalink)  
Antiguo 04/04/2012, 07:42
 
Fecha de Ingreso: mayo-2004
Mensajes: 102
Antigüedad: 15 años, 9 meses
Puntos: 5
Respuesta: Estos es suficiente para seguridad en $_POST

Por eso preguntaba! ;) Gracias! Igualmente ya le hare otro test con acutenix despues de parchear todo.
Saludos! Y gracias!
__________________
Bruno Quintana

Etiquetas: html, post, seguridad, sql
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 09:04.