Me podéis decir si esto es seguro?

_vincen_ · #1 (**permalink**) 26/01/2016, 21:53

Tengo el siguiente script

Código PHP:

  $getjson = file_get_contents('dominio.com?id=22&token=92fgrvbbdfw9e');

Envia estos datos a la web del usuario

El usuario en su script hace una comprobación comprobando el token para que solo mi dominio pueda hacer peticiones.

Si es correcta la peticion, entonces el usuario puede hacer la acción que quiera en su pagina web con los datos que le he enviado.

si dicha accion es correcta me devuelve esto a mi web, para informarme que todo fue ok:

Código PHP:

  $array = array(
'success' => true,
'custom_message' => 'mensaje personalizado'
);
$json = json_encode($array);
echo $json;

Entonces yo con la misma variable de file_get_contents ($getjson) obtengo los datos del json generado y los muestro en mi web.

Código PHP:

  $json1 = $getjson['success'];
$json2 = $getjson['custom_message'];

La duda es: El usuario podría hacer algún tipo de modificación, que ejecutara scripts en mi dominio o algo así?, como pasa con "mysql injection" si no lo proteges?

Me preocupa por que va a ser algo casi publico, mucha gente va a usar esto y seguramente haya alguien que le pique la curiosidad e intente algo.

Gracias

moscrates · #2 (**permalink**) 26/01/2016, 23:39

Creo que te quedaría mejor un webservices.
el token que esta nos enseñas es de ejemplo o así son los "tokens" que estas manejando?

_vincen_ · #3 (**permalink**) 27/01/2016, 08:01

Cita:

Iniciado por moscrates

Creo que te quedaría mejor un webservices.
el token que esta nos enseñas es de ejemplo o así son los "tokens" que estas manejando?

Estoy trabajando con Laravel, se que se pueden hacer API's, pero para algo tan sencillo como es este script, que? Hay alguna función que sustituya a file_get_contents y que sea mas fiable?

Lo del token es un ejemplo, el token es un string de 25 caracteres random (Numeros, letras y especiales)

_vincen_ · #4 (**permalink**) 28/01/2016, 19:23

Nadie? Quiero estar seguro antes de hacer nada :S