[SOLUCIONADO] Duda: Evitar que hagan POST desde pagina externa PHP

carlospc · #1 (**permalink**) 11/02/2013, 00:04

Saludos a todos y gracias de antemano a quien me pueda ayudar...

Tengo varios formularios los cuales puedo evitar que carguen si no se inicio sesión o que carguen de forma externa (los tengo con include en un panel administrativo) mi problema es, si veo el código del formulario, veo a donde van enviarse los datos (exec/ejecutar.php), los id y name de los campos, también se puede ver como los va enviar (post o get)...

Probé hacer un formulario en otro host totalmente distinto, recrear los campos y repetir los id's y names y direccioné al ejecutor del código y todo se ejecuto con normalidad...

Mi pregunta es creo que obvia ¿Como puedo evitar esto?

Me parece que la respuesta esta por ahí... escondida en la simpleza... pero no la vislumbro... :D espero me puedan ayudar...

Nemutagk · #2 (**permalink**) 11/02/2013, 00:31

Como tal no hay algo en PHP que pueda implementarse y evitar enviar POST desde sitios externos, usando .htaccess podría evitarse, ahora, si quieres usar solamente PHP podrías usar sesiones, generas una sesión en cualquiera de tus páginas y en el archivo que procese tu formulario post verificas que exista dicha sesión, si no existe la petición es desde un sitio exterior...

skiper0125 · #3 (**permalink**) 11/02/2013, 00:31

Hola que tal.

La forma correcta que se me imagino es colocar colocar el include que contiene los parámetros para saber si ya inicio sesión o no, de esta manera protegeras todos los archivos que ejecutan cambios en tu base de datos.

La otra posible solución seria verificar la página de origen de donde se envía el formulario, de esta manera también es posible evitar el bug que tienes en tu archivo.

Saludos

GatorV · #4 (**permalink**) 11/02/2013, 10:52

No se puede evitar al 100%, pero puedes usar una técnica que se llama CSRF:

http://www.veracode.com/security/csrf

carlospc · #5 (**permalink**) 11/02/2013, 14:11

Gracias por las respuestas, por el momento lo pude bloquear con manejo de sesiones, pero aún asi estoy viendo lo de GatorV para mayor seguridad

GatorV · #6 (**permalink**) 11/02/2013, 14:21

Si de hecho el CSRF se usa así con una sesión y un token, pero aún así se puede "brincar" basta con que visiten primero tu pagina, obtengan el token, y luego hagan el POST.

Es por eso que no se puede mitigar al 100%, recuerda la regla de oro NUNCA CONFÍES EN NADA QUE VIENE DEL USUARIO, siempre, siempre valida en el servidor todo, que la acción que va a hacer tiene permisos y que los datos son los esperados. Es la única forma de estar seguros.

Saludos.

carlospc · #7 (**permalink**) 11/02/2013, 14:30

Eso mismo GatorV, no se puede confiar al 100% en los usuarios, menos cuando es una aplicacion abierta a todos...

Gracias.