Marlanga y Triby, gracias por sugerencias pero no es la solucion al problema que veo, quizas no me he explicado bien.
- En el server si no estas autenticado no podras ejecutar ningun php.
- Tampoco se puede ejecutar un php si no es via ajax.
- La conexión es via SSL
El tema esta en el cliente y en las posible modificaciones que puedan hacer con un inspector y que alteren algun paràmetro.
Quizas mi enfoque deberia a ser a que toda la lógica la debemos siempre verificar en el server.
Por ejemplo, imaginemos que en el cliente hay un pequeño javascript y una de las funciones es Eliminar_Registro()
Código Javascript
:
Ver originalfunction Eliminar_Registro( id ) {
var sendInfo = {
action: 'delete',
id: id
};
$.ajax({
type: "POST",
url: "/mi_url",
dataType: "json",
success: function (msg) {
...
},
data: sendInfo
});
}
Casuísticas que veo que se pueden hacer con un inspector:
1.- Imaginemos que el usuario (que evidentemente esta autenticado pero es un listillo y esta jugando con el inspector...) no tiene acceso a la funcion Eliminar_Registro(), pero por la consola la puede ejecutar y esto provocaria la peticion al server y ejecucion del proceso correspondiente.
2.- Imaginemos que crea un break cuando entra en la funcion y si esta en el registro con un id = 10 lo cambia por el 20 y continua. Resultado se hace la llamda al server y casca el 20
Me refiero a este tipo de manipulaciones, y pueden haber muchas mas (cambiar la accion, mas parametros,...... Como lo enfocais ?
Gracias de nuevo
Carlos.