PHP OO Duda sobre seguridad al enviar datos por POST

matiD · #1 (**permalink**) 02/03/2014, 18:45

Como están? luego de ya tener saldada una duda por parte de Heli0s a quien agradezco enormemente, al final del otro tema le hice una consulta referente a como tomar correctamente los valores que envío por post y asignarselo a los atributos de una clase.

Heli0s me hablo sobre la seguridad, podrían decirme donde empezar a leer sobre como hacer la recepción de los parametros enviados por post para asignarselos a los atributos de la clase de manera segura?

En lo personal tengo un formulario en html obviamente

Código HTML:

Ver original<form method="post">
    <ul>
         <li>
                 <label for="usn">Usuario : </label>
                 <input type="text" maxlength="20" required autofocus name="usuario" />
         </li>
 
         <li>
                 <label for="passwd">Contraseña : </label>
                 <input type="password" maxlength="20" required name="pass1" />
         </li>
         
         <li>
                 <label for="confpasswd">Confirmar Contraseña : </label>
                 <input type="password" maxlength="20" required name="pass2" />
         </li>
 
         <li>
                 <label for="nombr">Nombre : </label>
                 <input type="text" maxlength="20" required name="nombre" />
         </li>
         
         <li>
                 <label for="apell">Apellido : </label>
                 <input type="text" maxlength="20" required name="apellido" />
         </li>
 
         <li>
                 <label for="mail">mail : </label>
                 <input type="email" maxlength="50" required name="mail" />
         </li>
         
         <li>
                 <label for="localid">Local : </label>
                 <input type="text" maxlength="20" required name="localid" />
         </li>
 
         <li>
                 <label for="tipousr">Tipo de Usuario : </label>
                 <input type="password" maxlength="50" required name="tipousr" />
         </li>
         <li class="buttons">
                <input type="submit" name="login" value="Crear Usuario" />
         </li>
 
    </ul>
</form>

Que envía dichos datos por post y son utilizados en la siguiente clase

Código PHP:

Ver originalclass Usuarios
{
    public $idusuario = null;
    public $usuario = null;
    public $pass = null;
    public $nombre = null;
    public $apellido = null;
    public $mail = null;
    public $tipousuario = null;
    public $idlocal = null;
    public $esadmin = null;
    public $puntos = null;
    public $salt = null;
    
    public function __construct($datos = array()) 
    {
        if (isset($datos['usuario'])) 
        {
            $this->usuario = stripslashes(strip_tags($datos['usuario']));
        }
        if (isset($datos['pass']))
        {
            $this->pass = stripslashes(strip_tags($datos['pass']));
        }
    }
    
    
    public function loginUsuario()
    {... 63 lines }
    
    //Funcion de registro de usuarios
    public function registraUsuario()
    {
        $success = false;
        try
        {
            //Tomamos los valores del post
            $this->usuario = $_POST['usuario'];
            $this->pass = $_POST['pass'];
            $this->nombre = $_POST['nombre'];
            $this->apellido = $_POST['apellido'];
            $this->mail = $_POST['mail'];
            $this->tipousuario = $_POST['tipousuario'];
            $this->idlocal = $_POST['idlocal'];
            $this->esadmin = $_POST['esadmin'];
            $this->salt = generaSalt::crearSalt(45);
            
            //Nos conectamos a la base de datos
            $con = new mysqli(DB_HOST, DB_USUARIO, DB_PASSWORD, DB_DATABASE);
            //Preparamos el query SQL
            $sql = 'INSERT INTO usuarios VALUES (usuario, contrasena, salt, nombre, apellido, mail, tipo_usuario, id_local)'
                    . 'VALUES (?,?,?,?,?,?,?,?)';
            //Creamos la sentencia preparada a utilizar
            $pre = $con->prepare($sql);
            $pre->bind_param('ssssssii', $this->usuario, $this->pass, $this->salt, $this->nombre, $this->apellido,  $this->mail, $this->tipousuario, $this->idlocal);
            $pre->execute();
           
            $con->close();
            
            $success = true;
            
            return $success;
            
        } catch (Exception $ex) {
            return $ex->getMessage();
        }
    
    }
    
    
}

Espero puedan darme una mano para hacer un sitio que tenga un poco de seguridad

desde ya muchas gracias a todos!

Heli0s · #2 (**permalink**) 02/03/2014, 19:00

Este es un post en el que se dan muchos consejos sobre seguridad, de hace 3 años, pero me gusta mantenerlo ya que sigue siendo vigente todo lo que se dice.

Un saludo

matiD · #3 (**permalink**) 02/03/2014, 19:30

Heli0s entonces la idea sería que cada valor que llega por post debería generar una serie de comprobaciones para de alguna manera asegurarme que sean lo que yo quiero que los clientes envíen en los formularios?

Estoy bien o le estoy escapando a algo?

Heli0s · #4 (**permalink**) 02/03/2014, 19:32

Estás en lo correcto, una buena filosofía es, cualquier dato externo es maligno hasta que se "compruebe" lo contrario.

Si es una fecha comprobar que tiene el formato correcto, si es una contraseña limitar caracteres, longitud, si es un dato numerico pasarlo a int lo cual elimina caracteres, y así miles de cosas.

Un saludo

matiD · #5 (**permalink**) 02/03/2014, 19:37

Buena filosofía jaja, nunca mejor explicada!!!

Ahora para mantener una buena práctica las funciones para esas comprobaciones me conviene mantenerlas dentro de la clase usuario que es donde se va a utilizar o crear una clase aparte que contenga todos los metodos para la comprobación de los diferentes campos?

Heli0s · #6 (**permalink**) 03/03/2014, 02:24

Lo idea es una clase externa, y que este preparada para validar lo que sea cuando lo necesites, no solo un formulario.

Un saludo