Ver Mensaje Individual
  #8 (permalink)  
Antiguo 15/06/2014, 08:05
Avatar de Italico76
Italico76
 
Fecha de Ingreso: abril-2007
Mensajes: 3.303
Antigüedad: 17 años, 3 meses
Puntos: 292
Respuesta: [Aporte] Seguridad básica en PHP

Si no es "intrusivo" agregaré para completar que un mal diseño de como se hacen las peticiones para borrar / crear / modificar recursos puede hacer extremandamente facil a un usuario por ejemplo borrar toda una tabla de nuestra base de datos:


- Debe separarse lo que es borrar / crear / modificar recursos (generalmente usando POST) de lo que es consultarlos (por GET)

- No deben enviarse IDs numericas consecutivas.


Quizas lo mejor es usar GET para recuperar recursos y POST para modificar / eliminar / crearlos pero enviando en cada caso el ID de una forma distinta (en el caso de por GET haciendo un HASH complicado que lo convierta en una cadena alfanumerica compleja o usando "urls amigables") asi si veo una "ID" en un GET no la puedo usar en POST y viceversa.
__________________
Salu2!

Última edición por Italico76; 15/06/2014 a las 08:10