Cita:
Iniciado por truman_truman
[...] pero cualquiera con un poco de mala intención podría malversar la información y enviar el formulario, muy fácilmente. [...]
Es posible, siempre y cuando cuente con los conocimientos técnicos suficientes.
No cualquier persona es capaz de conseguirlo, pocos entienden los formularios, pero bueno... si colocas como name del hidden algo así como:
Código HTML:
<input name="clave_tarjeta_pin"/>
Pues es obvio lo que significa, incluso es descuidado pasar datos tan importantes por formularios. De ahí que se deben usar las sesiones para persistir datos sensibles.
Una técnica que se les ha pasado a todos es muy simple: CRSF
La idea consiste en generar un hash único al momento de mostrar el formulario, pasamos dicho hash como hidden, y al procesar el formulario comprobamos si coincide dicho valor con el hash previamente almacenado en sesión.
Es el mismo concepto de los captcha, o algo así.
Y de verdad, no importa cuan sensible sea un formulario, usando esta técnica te aseguro que nadie podrá conseguir lo que temes.
NOTA: todo proceso con datos sensibles debe hacerse en el servidor, no hay ninguna razón para pasarlos por un formulario.