¿ Seguridad de envio de formularios utilizando SSL ?

Hola a todos,

SSL es un certificado utilizado comunmente para encriptar la información del cliente al servidor y al revés. Me gustaría implementarlo en una web per tengo una duda...

Si utilizo un formulario con campos ocultos (hidden) con cierta información ¿ El usuario podría modificar esos hidden y mandarlos ?? ¿ O al utilizar SSL eso no es posible ??

Un saludo y gracias!!!

No tiene nada que ver una cosa con la otra.
Tu formulario tiene que ser tal cuál lo haces sin ssl.
El encriptado de los datos es algo que manejan el servidor con el navegador.
Lo único que tienes que cuidar es que todo lo que cargue tu html sea a través de ssl, ya sean imágenes, archivos javascripts, css o html en iframes.

Con cualquier herramienta de edición de código en tiempo real (Webdeveloper en Firefox, por ejemplo), pueden modificarte lo que se les ocurra. (https ó http)
La solución es hacer una correcta validación del lado del servidor

Saludos

El ssl encripta la información para que si el usuario intercepta lo que se está enviando no sepa que es pero, por lo que comentais, el usuario puede cambiar dicha información por una suya ???, entonces no existe un sistema seguro para enviar datos y que no se puedan modificar ???

Quizás esto te oriente un poco más
http://www.forosdelweb.com/f4/duda-g...4/#post4046315

Saludos

Tomo nota..

Aprovecho la ocasión para saber vuestras opiniones a cerca de un ejemplo mio:

Cuando un usuario se registra en la web, guardo su id en una variable de sesión. A partir de ahí, lo típico, puede añadir datos, modificarlos, etc.. El tema está en que a mi no me gusta a la hora de realizar operaciones de inserción/modificación y borrado de datos utilizar variables de sesión directamente, me explico:

Cuando un usuario cumplimenta un formulario y lo envia, le meto en un campo hidden el num de usuario para cuando la página reciba todos los datos de dicho formulario los reciba todos con $_POST y no tenga que utilizar ninguna variable de sesión. Esto lo realizo así por "motivos de seguridad", es decir, si el usuario con id 45 acaba de cumplimentar un formulario de 10 campos, que a la hora de guardar sea realmente así (recogiendo los datos por POST) y no exista ninguna variable de sesión que pueda dejar la operación de insertado un poco "en el aire" mediante variables de sesión, no se si me explico...

Pero por lo que veo se puede modificar cualquier campo de un formulario (sea hidden o no), por tanto dicho usuario podría poner otro id del campo hidden y a la hora de guardar se guardaría como si fuera otro usuario... entonces.. ¿Que opinais? ¿Existe una forma mejor?

Gracia a todos de antemano!

Además del id, lo que podés hacer es usar otro campo con un código generado de una manera similar a esta:

$cod=md5($id."r".date("YmdHis")."t".rand(111,999)) ;

Esto genera un número hexadecimal de 32 caracteres. Usado junto al id, es muy difícil que alguien, modficando este dato pueda adivinar cuál es el código que le corresponde a otro usuario.

También sería conveniente que guardes este código en una cookie o variable de sesión y lo uses como permiso, de lo contrario alguien también podría modificar el ID guardado en la variable de sesión (que no es más que una cookie) y acceder a la cuenta de otro usuario.

¿ La variable de sesión no es más que una cookie ?... tenia entendido que las variables de sesión no se podian modificar...

¿ Se puede modificar fácilmente una variable de sesión ?