Verificar origen de formulario

Danielfuzz · #1 (**permalink**) 26/01/2010, 17:59

Hola:
Quisiera poder validar que el formulario que recibo en mi archivo php provenga de mi servidor y no de otro. Cómo lo hago??

Pensé usar HTTP_REFERER pero leyendo en el foro leí que puede ser vulnerado.

También leí que se podría usar sesiones, es decir en el archivo del formulario, inicio la sesion con un valor y en el archivo php verifico la sesion. Mi duda está en:

si le doy un valor arbitrario a la sesion, cómo mando ese valor al php para que despues sea comparado con el valor almacenado en la sesion??
no creo que sea por un hidden ya que estaría visible (en el código HTML) para el que desee verlo

existe algún problema con esto??
que sugieren??

Vun · #2 (**permalink**) 26/01/2010, 18:01

Yo te sugieron que leas bien un tutorial de sesiones, porque no solo te va a servir para eso sino para muchas cosas mas:
http://www.desarrolloweb.com/articulos/235.php

Trata de programar algo y nos cuentas como va

Danielfuzz · #3 (**permalink**) 26/01/2010, 19:27

Hola Vun, gracias por tu pronta respuesta.

te comento que no tengo problema con el manejo de sesiones. El problema es mas lógico. Pero ya se me "prendió el foco" de como hacerlo.

1.- Genero una cadena arbitraria x
2.- Guardo la cadena arbitraria en una session
3.- en el formulario a mandar me creo un campo hidden con el MD5 de la cadena arbitraria previamente guardada en la session. (OJO la cadena guardada en la session no está en MD5, sólo la de el campo hidden)
4. el archivo php que recepciona los datos recupera el valor de la session y la codifica con MD5 y la compara con la cadena recibida del formulario (del campo hidden).

Saludos.

Tema Solucionado!!

zerpico_01 · #4 (**permalink**) 26/01/2010, 19:58

hay una tecnica llamda token pa hacer eso

Código PHP:

  <?php
$ authToken = sha1 ( $authToken = sha1 (
 session_id ( ) .
 phpversion ( ) .
 $dbName .
  REMOTE_ADDR $ _SERVER [ '']. $_SERVER [ 'REMOTE_ADDR' ] .
  HTTP_USER_AGENT $ _SERVER [ ''] $_SERVER [ 'HTTP_USER_AGENT' ]); 

if (isset ($ _POST [ 'submit'])) if ( isset ( $_POST [ 'submit' ] ) )

{
  if (isset ($ _POST [ 'auth_token']) & & $ _POST [ 'auth_token'] == $ authToken) if ( isset ( $_POST [ 'auth_token' ] ) && $_POST [ 'auth_token' ] == $authToken )
   {
    //Proceso de forma 
   }
  algo m&#225;s else
 {
    //Mensaje de error de visualización 
  }
 }
 ?>

<form id="form" method="post" action="./"> <form id="form" method="post" action="./">
  <fieldset> <fieldset>
    <label for="name"> Nombre: </ label> <label for="name">Name:</label>
    <input type="text" name="name" id="name" valor=""/> <input type="text" name="name" id="name" value=""/>
  </ fieldset> </fieldset>
  <fieldset> <fieldset>
    valor <input type = "hidden" name = "auth_token" = "<? php echo $ authToken?>" /> <input type="hidden" name="auth_token" value=" <?php echo $authToken ?> "/>

    <input type="submit" name="submit" value="Submit"/> <input type="submit" name="submit" value="Submit"/>
  </ fieldset> </fieldset>
</ form> </form>

el codigo lo rompio tudu el traductor de google

quita lo que se duplica parece buen codigo

mas links http://www.google.es/search?q=token+...ed=0CCYQ_wEwCg

saludos