Hasta que punto es seguro el AJAX?

Pinx0 · #1 (**permalink**) 02/03/2009, 16:00

Creo haber leído por ahí que es posible mandar variables por post a una determinada página... es esto cierto?

Porque mis php de respuesta a las llamadas de ajax tienen que llevar el connect incluido claro... si no no puedo instroducir nada en la BD entonces...

Como yo le paso las variables mediante un post que igual proviene de un formualrio o de lo que sea, pero de alguna forma tengo "controlado" el contenido.... Si alguien envia directamente a ese php unas variables por post... podría joder en cierto modo, segun el contenido que trate ese ajax.

Por ejemplo, tengo un formulario que modifica los datos de un usuario, una de las variables que envia es el nick de ese usuario, pero si alguien accediera directamente al php podria modificar los datos de cualquier usuario.

Tengo algo de que preocuparme o es mentira eso de que se puede enviar datos por post directamente?

GatorV · #2 (**permalink**) 02/03/2009, 16:25

Hola Pinx0,

La preocupación es la misma que si fuera una pagina normal, de fondo AJAX usa un request HTTP normal para hacer el request así que si tu aplicación es "segura" sin usar AJAX va a ser igual, solamente sigue la misma guia.

Saludos

#3 (**permalink**) 02/03/2009, 16:41

Añadiendo un poco a lo que dice GatorV y por lo que tú comentas en tu mensaje, Pinx0:

No hace falta AJAX, cualquiera puede enviar datos por POST a tu PHP. Y puede enviarle los datos que quiera. Siempre tienes que comprobar los datos que te llegan en el servidor.

Si enviar un nick de usuario distinto supone que se pueden cambiar los datos de cualquier usuario tu aplicación no es segura.

Pinx0 · #4 (**permalink**) 02/03/2009, 20:14

Pero la diferencia es que para hacer un request que conecte con la base de datos tengo que incluir el connect.php en ese archivo del request, a diferencia de si no lo hiciese con AJAX que me valdria el connect.php incluido en el index y tendria variables que no provienen de ningun POST ni GET que me dan cierta seguridad.

No veo entonces el modo de pasar variables a ese request de una forma infalseable. Hay alguna otra forma a parte de la típica de post o get?

GatorV · #5 (**permalink**) 02/03/2009, 22:38

Como te indico es lo mismo, tu debes de programar tu sistema que sea lo seguro uses o no AJAX, ya que al final es un request HTTP.

Saludos

Pinx0 · #6 (**permalink**) 03/03/2009, 06:27

mmnn...

una variable de tipo SESSION si que la podria leer el archivo request no?

GatorV · #7 (**permalink**) 03/03/2009, 11:37

Si la puedes leer desde el PHP es perfectamente posible, como te dije, es un request HTTP normal lo unico que cambia es que desde el cliente lo hace de "fondo", pero en el servidor se hace un request HTTP igual.

Saludos

jempmx28 · #8 (**permalink**) 11/03/2009, 16:30

Tu mismo le das la seguridad a tu sitio. Y no tiene nada que ver si utilizas Ajax o no.

Todo depende del programador, configuracion de apache, y configuracion del PHP.ini. Etc. son varios Factores.

Saludos.!

eulloa · #9 (**permalink**) 13/03/2009, 08:47

Pinx0, lo que te han estado diciendo es que, independientemente de usar ajax o no, deberias "limpiar" tus variables manualmente. Es decir, Ajax, PHP, de por si, no te dan ninguna seguridad para tratar los datos, estos debes filtrarlos tu mismo, segun las reglas que consideres
En definitiva, como te ha dicho Gatorv, solo son llamadas HttpRequest

gerardosch · #10 (**permalink**) 13/03/2009, 10:12

la seguridad debes incluirla de todos modos uses o no el ajax