[SOLUCIONADO] POST variable segura?

Hola que tal a todos,

Cuando envio una variable POST esta es segura??? o realmente esta variable puede ser descubierta, he leido que cualquier cosa que viaje por el url es vulnerable, que hay necesidad de codificar las variables que no quieres que sean descubiertas.

Alguien me podria explicar un poco mejor sobre esto?


Saludos
Carlos Treviño

¿Y desde cuando POST viaja por URL? ¿No será GET?

Ya sea GET o POST, la veas en la URL o no, podrás ver el contenido de una forma fácil.
Si entendemos esto como "seguridad", pues no, no es seguro.

Ok pues no mas queria saber si era seguro pero a lo que me dices pues no, y pues a lo que habia leido en internet de que necesitare como un codificador para transformar las variables en puros numeros o en letras sin sentido.

Gracias por la respuesta

$_POST y $_GET son tan seguros como lo sea el script que los maneja.

Nada es totalmente seguro, pero tampoco es obligatorio encriptar datos para tener seguridad.

Basta con una buena validación. Generalmente si mandas algo por $_POST y $_GET de antemano se conocen sus valores. Y si los encriptas y luego desencriptas viene siendo lo mismo que si no lo hicieras.

Supongo que se referirá al envío de contenido "sensible", es decir, cosas que puedan comprometer la seguridad de una forma "no técnica", como una contraseña y no al hecho de poder alterar ese resultado para explotar vulnerabilidades (por carencias del script).

Por ejemplo, si queremos enviar user y contraseña por POST, podemos hacer el envío de la contraseña cifrada previamente con MD5 (por ejemplo) mediante Javascript.
De esta manera, teniendo la contraseña cifrada en MD5 en nuestra base de datos, buscaremos directamente. Ya no sería necesario que PHP cogiese la contraseña real, la cifrase y posteriormente hiciera la comprobación en la base de datos.
En caso de que alguien pudiese ver ese parámetro, se encontraría con un MD5 y no con la contraseña real (sin cifrar).

De todas formas, salvo contadas excepciones (inserciones directas del usuario, por ejemplo), las comunicaciones por GET/POST para manejar datos "sensibles" bajo una misma aplicación nos indica que no estamos haciendo una arquitectura correcta.


En cualquier otro caso, como el envio de contraseñas, contra ataques MITM podemos usar un protocolo criptográfico como SSL

Por eso nunca hay que generalizar. Decir que hay que enviar los datos $_POST y $_GET encriptados con cualquier hash es demasiado general.

Hay que ser más específicos con lo que se dice. Luego nos quedamos con ideas extrañas.

Hablando de javascript, siempre hay que hacer la doble comprobación, desde servidor como en navegador, por que con desactivar javascript, cosa que es muy simple, se te cae toda la seguridad.

Perdon si no especifique bien, simplemente me referia en cuestion de seguridad, si se podia adivinar una variable junto con su contenido enviada por POST por una persona ajena que estuviera navegando en la pagina Web. Ya que GET se puede observar en el URL y POST no.

Saludos

Basta con ver el codigo fuente, el name de los formularios