Filtrar variables en un formulario

srwik · #1 (**permalink**) 31/03/2012, 16:05

Hola a tod@s,

Hice un formulario hace poco empezando apenas con php. Quedó muy bien y funciona correctamente. Ocurre que me recomendaron filtrar las variables para evitar inyecciones. No me gustaría dejarlo para más adelante porque sino quedará en el olvido y luego podría ser tarde.

El código es este:

Código PHP:

  <?php 
$nombre = $_POST['nombre']; 
$apellidos = $_POST['apellidos']; 
$dni = $_POST['dni']; 
$mail = $_POST['mail']; 
$telefono = $_POST['telefono']; 
$direccion = $_POST['direccion']; 
$ip = $_SERVER['REMOTE_ADDR']; 
  if( isset( $_POST['condiciones'] ) ) {  
    // El cliente aceptó las condiciones  
  } else {  
    // El cliente no aceptó las condiciones  
  }  
 
$header = 'From: ' . $mail . " \r\n"; 
$header .= "X-Mailer: PHP/" . phpversion() . " \r\n"; 
$header .= "Mime-Version: 1.0 \r\n"; 
$header .= "Content-Type: text/plain"; 
 
$mensaje = "Este mensaje fue enviado por " . $nombre . ", con apellidos " . $apellidos . " \r\n"; 
$mensaje .= "Condiciones: " . $_POST['condiciones'] . " \r\n"; 
$mensaje .= "Su e-mail es: " . $mail . " \r\n"; 
$mensaje .= "Dni: " . $_POST['dni'] . " \r\n"; 
$mensaje .= "Teléfono: " . $_POST['telefono'] . " \r\n"; 
$mensaje .= "Dirección: " . $_POST['direccion'] . " \r\n"; 
$mensaje .= "Su ip: " . $ip . " \r\n"; 
$mensaje .= "Enviado el " . date('d/m/Y', time()); 
 
$para = '[email protected]'; 
$asunto = 'Cliente nuevo'; 
 
mail($para, $asunto, utf8_decode($mensaje), $header); 
 
header('Location: http://www.web.es');  
 
?>

¿Alguna idea o recomendación para crear los filtros? Estoy comiéndome manuales, veré si saco algo por mi cuenta. Gracias de antemano,

Saludos.

SirDuque · #2 (**permalink**) 31/03/2012, 16:12

La mejor manera de filtrar variables es con expreciones regulares, capaz es avanzado para tu nivel.
Mientras podrias ir definiendo que contiene cada variable:

Por ejemplo Nombre, Apellido
Se entiende que no tiene numeros o simbolos puedes filtrarlo con: ctype_alpha().

Podes chequear:

ctype_ alnum
ctype_ alpha
ctype_ cntrl
ctype_ digit
ctype_ graph
ctype_ lower
ctype_ print
ctype_ punct
ctype_ space
ctype_ upper
ctype_ xdigit
is_numeric

Te aparecera a izquierda cuando entres aqui ctype_alpha().

PD: cuando filtres todo, chequea el codigo, ya que si prestas atencion, pones

$telefono = $_POST['telefono'];

Y despues:

$mensaje .= "Teléfono: " . $_POST['telefono'] . " \r\n";

srwik · #3 (**permalink**) 12/05/2012, 01:46

Retomando el tema...me parece avanzado la verdad! pero te lo agradezco mucho.

¿Qué tal si utilizo esto?

Código PHP:

  $correo=$_POST['correo_electronico']; 
if(!filter_var($correo,FILTER_VALIDATE_EMAIL)) 
echo "El correo introducido no es válido";

Lo he visto buscando por ahí...me parece sencillo la verdad. Y si con eso se filtra bien pues listo :)

Saludos!