¿Como puedo reforzar la seguridad de mis formularios?

DaronWolff · #1 (**permalink**) 22/05/2010, 11:43

Hola tengo un formulario por ejemplo

<script>
function valida()
{

if(document.nombre_form.mitexto.value=="")
{
alert("Ingrese texto");
}
}
</script>

<form action="miphph.php" method="post" name="nombre_form">
<input type="text" name="mitexto">
<nput type="button" value="enviar" onclick="valida();">
</form>

Pero el hueco de seguridad esta si en la URL del navegador ingreso lo siguiente
javascript:document.nombre_form.submit();

Como puedo evitar que algun usuario pueda hacer el submit desde la URL

GRACIAS!!

zerokilled · #2 (**permalink**) 22/05/2010, 12:28

en primer lugar la validacion es recomendable realizarla en el evento onsubmit del elemento FORM. segundo y mas importante, la validacion del lado cliente no es segura por lo que la validacion deberia realizarse en el lado servidor. la validacion de lado cliente es simplemente una ayuda inmediata para que el usuario pueda corregir los datos sin tener que realizar varias peticiones al servidor. aca te dejo un tutorial de un gran amigo y colaborador del foro, el abc de los formularios

Panino5001 · #3 (**permalink**) 22/05/2010, 12:30

Un poco de mayéutica:
Y qué le impide a un usuario reproducir tu formulario y enviarlo a la ruta absoluta de tu página de proceso? O simular el envío vía sockets o http?
Exacto: nada.
Entonces, si lo que necesitás es que el servidor no realice un proceso si los datos de entrada no tienen ciertas características, y sabiendo que nada puede impedir que esos datos lleguen al servidor, dónde debés hacer la validación de dichos datos de entrada?
Exacto: sólo en el servidor se pueden manejar cuestiones relacionadas con seguridad.

edito chocamos una vez más, compañero zerokilled ;)

caricatos · #4 (**permalink**) 22/05/2010, 17:11

Hola:

Si el action es del tipo "javascript: alert('estamos haciendo trampas'')", si se desactiva javascript no va a servir de nada aunque valides como mis compañeros del foro han sugerido con el evento asociado, y cambies el action...

onsubmit="if (valida(this) this.action = 'url_buena.php'".

Así que todos te aconsejamos que la validación buena sea en el servidor.

También es posible encerrar el botón submit en una etiqueta noscript... pero ya estamos planteando muchas piruetas para una cosa tan sencilla.

Saludos

DaronWolff · #5 (**permalink**) 24/05/2010, 09:01

Muchas gracias por sus respuestas. Han sido muy amables. Tomare muy encuenta todas las respuestas.
Gracias