Está claro que los campos hidden no son seguros, son como cualquier otro campo y está claro que es muy recomendable validar los datos recibidos con php (ademas de javascript) ya que a través de firebug o similar se puede cambiar toda la web de arriba a bajo, por tanto, los datos enviados por el usuario nunca son de confianza...

En mis proyectos controlo XSS, sql injections etc.. pero en este post me querría centrar en las vulnerabilidades al pasar/recibir datos entre páginas con $_POST.

Pongo un ejemplo:

Un usuario se registra en la web y una vez en su panel de control puede ver un combobox con un listado de opciones a las que puede acceder (cada usuario tendrá un listado propio, según una serie de parametros). Entonces el usuario elige una opción y se envían los datos por $_POST. La pregunta es:

- ¿La página que recibe esta opción debería mirar en la base de datos para asegurarse que dicha opción elegida pertenece realmente a ese usuario?

- Si se realizan demasiadas consultas en la BD para comprobaciones no se sobrecarga demasiado el servidor con demasiadas consultas ?,

- ¿ es mejor utilizar $_SESSION ?

¿ Que opinais ?

Un saludo compañeros!