Seguridad formulario PHP

Saludos a todos!

Tengo una duda respecto a la seguridad de un formulario...

La duda es esta:

Cuando uno emplea algún formulario sin el atributo ACTION implica algún riesgo de seguridad?
Como por ejemplo que alguien de alguna manera pueda remotamente aplicar dicho atributo y desviar la información del formulario?

-Algo leí respecto a eso, pero no recuerdo donde fue donde lo vi.

Pero tengo entendido que eso se lograría solo si mi web fuera vulnerable a XSS.

O que es mas seguro?

Mi lógica dice que si no muestro el nombre del archivo que procesa la información es mas seguro.

Lo pensé de esta manera.. tener guardado en una variable el nombre del archivo PHP con algún tipo de encriptacion de dos vías en un JS y justo al momento de enviar el form enviarlo mediante jquery desencriptando el nombre.

Comenten por favor sus opiniones, y o sugerencias de como incrementar la seguridad y privacidad de los archivos que procesan la información de los formularios.

Nadie remotamente puede hacer eso, a no ser que tenga acceso al servidor. A mi entender no importa la url donde apunta el formulario, lo que importa son los datos que te envían en el. Lo mejor es capturar toda esa info y validar si esta correcta antes de hacer cualquier insert a la base de datos por ejemplo.

Si se puede truman_truman, si la pagina fuera vulnerable a XSS podrían crear un link en el mismo dominio con inyección JS (y el usuario ni lo notaria) y modificar mediante una función el ACTION del form y apuntarlo hacia otro servidor y si hablamos de un login, el atacante estaría recibiendo el usuario y contraseña del usuario.

Así que si es posible! lo que yo intento es ademas de proteger mi web contra XSS también intentar buscar cualquier otra vulnerabilidad de la cual se puedan aprovechar.

De igual manera agradezco tu comentario!

Y guiandome con lo que me dices, seria mas que suficiente con controlar que recibe y que no recibe mi PHP del form?

Imagino que el ejemplo es en una pagina donde la gente postea? en ese caso si, por eso digo de validar la info antes de guardar.

Supongo que lo tuyo se refiere cuando alguien postea y otro entra a ver el post, se ejecuta el js inyectado que cambiar urls etc etc.


.

mira esta pagina te hace una especie de test de seguridad
probala a ver si te sirve

https://detectify.com/

si tenes definido el atributo action por XSS tambien te lo pueden modificar ..

pero para vos estar seguro siempre valida todo los post o get que lleguen a tu servidor , y tratar de quitar de adentro del document root todo lo que no quieres que sea accesible..

saludos

Este pareceria ser un buen articulo con varias soluciones incluidas
http://www.desarrolloweb.com/manuale...scripting.html

igual yo no me tomaria el trabajo de ser tan estricto con esto
lo que si detectaria es si mi web esta infectada, si se que está infectada hago lo posible para limpiarla
pero ponerse a programar como un loco por estas cosas cualquier proyecto seria interminable

Gracias a todos por sus respuestas y comentarios! Estudiare sus comentarios!

Gracias por tu aporte webankenovi muy interesante!