Duda Seguridad con POST y jquery

fieroso · #1 (**permalink**) 16/05/2014, 09:53

Buenas, programando un panel me ha surgido la duda, y es la siguiente, ya se que si utilizo jquery para hacer insercciones y updates a la base de datos y los parámetros los recibe un php externo como es normal sé que si paso los parámetros por GET eso es muy vulnerable y eso si que lo controlo comprobando antes contraseñas etc de eso no tengo problemas.

La duda es si los parámetros los envío por medio de POST debo tener en cuenta algún aspecto de seguridad, porque con GET se que es muy fácil liarla ya que por la barra de direcciones se cambia todo pero con POST... no se si existe algún método que pueda comprometer y modificar los parámetros que recibe el php que conecta a la base de datos.

Muchas Gracias de Antemano a todos.

Italico76 · #2 (**permalink**) 16/05/2014, 10:11

Siempre se puede "simular" un POST pero con GET tampoco tendrias problemas si lo ocupas solo para solicitar datos y jamas para insertar / actualizar / borrar.

Por otro lado, si usas "urls amigables" no estas mostrando Ids en ningun momento en la barra de direcciones

fieroso · #3 (**permalink**) 16/05/2014, 10:16

Cita:

Iniciado por Italico76

Siempre se puede "simular" un POST pero con GET tampoco tendrias problemas si lo ocupas solo para solicitar datos y jamas para insertar / actualizar / borrar.

Por otro lado, si usas "urls amigables" no estas mostrando Ids en ningun momento en la barra de direcciones

Lo sé pero aunque sea para mostrar datos con GET es igual pueden sacar datos de las BD, hay partes que no tengo más remedio que enviar con GET pero la solución que he tomado es que lo que hago por GET además envio el usuario y la contraseña previamente encriptada y compruebo ese usuario y contraseña con los de la base de datos y en ese caso es cuando hago la consulta, inserccion etc.

¿cómo ves esta solución? Ah y sobre lo de simular un post ¿me puedes pasar algún enlace o algo de información al respecto?

Muchas Gracias

Italico76 · #4 (**permalink**) 16/05/2014, 11:02

http://www.forosdelweb.com/f18/aport...1/#post3025396

Y sobre lo primero: yo JAMAS enviar por GET en CUD (create-update-delete)

Alexis88 · #5 (**permalink**) 16/05/2014, 14:46

Como bien dice Italico76, para realizar acciones destructivas (inserción, edición o eliminación de datos de una BD), es preferible utilizar el método POST, pues con GET se deben realizar solo acciones constructivas (consulta de datos de una BD). Por otro lado, la seguridad la debes implementar tanto en el lado del cliente (con JavaScript y validaciones con HTML5), como en el lado del servidor (con PHP o el lenguaje server-side que utilices). Sin embargo, no olvides que, además de ataques XSS e inyecciones SQL, también existe la posibilidad de ser víctima de un ataque MiTM. Te sugiero leer al respecto para que sepas cómo prevenirlo.

Saludos