Enlaces
Esta en:

documentos
Arriba
Bind-9
Bind-8
Ad+bind
Dhcp
Kdephp
Shell
Trucos
Php
Documentos
Cuestiones php
Fedora
Legal
W2000 xp
COMOS
Errores dns

Re: [PHP-ES] riesgos al usar variables pasadas por GET/POST

Write haof XML files: roberto german puentes diaz <puentesdiaz_at_gmail.com>
Fecha: Fri, 13 May 2005 12:56:12 -0300

Hola, quizas esto le pase a mas de uno.

Muchas veces tenemos que hacer cosas como un ABM (alta-baja-modificacion) de
noticias. Ademas las mismas estan agrupadas en secciones a las cuales tienen
acceso un usuario que pertenece a un grupo...

El tema de los permisos de usuarios-grupos-secciones estaria definido.

El sistema seguramente chequea la condicion del usuario y simplemente nos
genera una tabla donde en cada renglon hay una noticia. Listando asi las
noticias que le corresponde.

En cada renglon vemos en celdas separadas, el ID, el titulo Fecha etc. Pero
ademas enlaces del tipo "editar" "borrar". por ej:
editar.php?id=15
borrar.php?id=15
o incluso en una sola pagina
abm.php?accion=editar&id=15
abm.php?accion=borrar&id=15

Sea como sea.
La pagina.asp que recibe por URL los valores se encarga de llevar a cabo la
accion.

Muchas veces para hacer mas rapido, si sabemos que la noticia que queremos
"borrar" tiene el ID (digamos 20) ponemos tiprando en el URL:
abm.php?accion=borrar&id=20
Y Listo!

Esto no es para nada un ejemplo de confiabilidad pues, si la noticia con ID
20, pertenece a otro grupo, no estaremos haciendo bien las cosas.

Por lo general se comprueban los permisos a fin de mostrar una lista de
noticias (con los links para el ABM) , ya que el usuario promedio ni idea de
la vida....

1) Mi pregunta es, como encaran este problema, particularmente?

2) Como el sistema ya esta hecho por otro, y no hay mucho tiempo para mucho
mas, Pensaba que en lugar de poner enlaces que envien por URL las variables,
seria mejor poner miniFormularios con un boton y las variables y sus valores
ponerlos en INPUTs con readonly y ocultos (hidden) de manera que no lo
puedan ver a simple vista y evitar la modificacion.

Se que tambien, sabiendo que no tengo permisos para borrar la id 20. Lo
mandas por post, y me bajo la página a mi pc (en forma local), cambio la
ruta de tu sitio poniéndola completa (nada de action=baja.php?id=XX, sino
action=http://tuweb.com/baja.php?id=43), te da igual, ...se borraría esa id,
pues no has hecho la comprobación en la página receptora baja.php

Eso esta bien claro, ! :)

Pero como comente es tal kilombo, que perderia el laburo.

Si logro que la pagina receptora se asegure que el FORM que le llega,
procede una pagina situada en http://tuweb.com/abm.php?usuario=rober
<http://www.forosdelweb.com/o.php?http://tuweb.com/abm.asp?us=rober>

entonces con eso y el envio mediante FORM (method=post) podria dar un poco
mas de seguridad a lo que hay ahora.????????????
Es decir, si puedo segurarme que la pagina receptora solo se ejecuta si el
FORM que recibe viene de una pagina dada, y sabiendo que no pueden modificar
los datos, tendria un mejor nivel de seguridad no??????????????

Estoy de acuerdo que deberia comprar permisos en ambas instancias (ABM y
pagina receptora), pero ahora no puedo.

saludos
rober
Nearby sáb may 14 2005 - 00:24:27 CEST

Este archivo fue generado por hypermail 2.2.0 : mié nov 07 2007 - 20:55:33 CET


Página Principal
Google

Web
dns.bdat.net

Visita nuestro proveedor:
www.bdat.net

Publicidad:

Impresenteibols:Humor Jazz, música en vivo