09/06/2005, 07:53
| ||||
| ||||
| Validaciones o malas validaciones con GET y POST
Código:
como evito para que pueadan obtener datos mediante get o post? Lo que si debieras de considerar es el preligro que puedes estar corriendo de que un usuario mal intencionada te injecte una consulta sql por get o por post, por una mala validacion de datos. |
|
10/06/2005, 01:35
| ||||
| ||||
| Cita: ... más bien, lo que quieres evitar es que puedas recibir datos que no provengan de tu mismo sitio... aunque creo esto es configuración del servidor y el tipo de conexión (quizá deberías preguntar en el foro de Seguridad y Redes), podrías hacer uso de la variable superglobal $_SERVER... e indices como 'HTTP_HOST' ó 'HTTP_REFERER'. Lee al respecto en www.php.net/reserved.variables#server
Iniciado por xcars como evito para que pueadan obtener datos mediante get o post? Aunque  , esto no es completamente seguro  . Igual podrías crear una variable de sesión en donde despliegas tu formulario y verificar (y elimnar) su existencia en donde vaz a recibir valores... solo actuar si existe dicha variable.. sencillo y seguro.Igual busca en el foro sobre SQL injection... ... y es todo de mi parte... (¿quién te dijo eso??). Saludos! 
__________________ ٩(͡๏̯͡๏)۶ "100 años después, la revolución no es con armas, es intelectual y digital" |
|
10/06/2005, 08:37
| ||||
| ||||
| Cita:
Iniciado por jam1138 ... más bien, lo que quieres evitar es que puedas recibir datos que no provengan de tu mismo sitio... aunque creo esto es configuración del servidor y el tipo de conexión (quizá deberías preguntar en el foro de Seguridad y Redes), podrías hacer uso de la variable superglobal $_SERVER... e indices como 'HTTP_HOST' ó 'HTTP_REFERER'. Lee al respecto en www.php.net/reserved.variables#server Aunque , esto no es completamente seguro . Igual podrías crear una variable de sesión en donde despliegas tu formulario y verificar (y elimnar) su existencia en donde vaz a recibir valores... solo actuar si existe dicha variable.. sencillo y seguro.Igual busca en el foro sobre SQL injection... ... y es todo de mi parte... (¿quién te dijo eso??). Saludos! quien me dijo el que?? gracias buscare la info |
|
10/06/2005, 21:20
| |||
| |||
| Cita: esto:
Iniciado por xcars quien me dijo el que?? gracias buscare la info Cita: Lo que se refiere es que hay que filtrar el dato que te ingresan externo (el que te llega de un formulario .. por un link .. etc) .. Comenzando por "filtrar" que venga el dato en el método esperado (sea POST o GET según uses un formulario con el metodo que corresponda (method) .. o por el URL (sería GET) .. etc). Luego continuar filtrando el valor del dato esperado .. si esperas sólo números .. no aceptes caracteres cualquiera .. despues filtras el dato que va a entrar a la sentencia SQL filtrando con funciones tipo (Mysql): mysql_escape_string() que "escapan" ciertos caracteres (como comillas, / .. etc) que podrían ocasionar que te "compongan" una sentencia SQL tal que pueda arrojar resultados que no deberían ser.injecte una consulta sql por get o por post, por una mala validacion de datos. Un saludo, |
