Cita:
Iniciado por jotaincubus
Podes utilizar URL AMIGABLE para minimizar un poco (no del todo) los posibles ataques, de todas formas yo como programador siempre soy muy estricto cuando verifico las acciones a realizar...
No basta con recoger el valor del parámetro url y realizar la acción, siempre debes verificar que el usuario tenga permiso para realizarla, que al realizarla los datos enviados sean correctos.
esto para mi no es una buena practica:
Código PHP:
Ver original<?php
if($_GET['accion'] == 01){
//haga cosas
}
?>
Para mi como mínimo debería hacerse esto (repito "como mínimo"):
Código PHP:
Ver original<?php
if($_GET['accion'] == 01 && $_SESSION['acces'] == TRUE && !empty($_GET['accion']) && $_SESSION['access_type'] == 'admin'){ //haga cosas
}
?>
buena maestro.......... quedo muy claro.....vale a todos por los concejos