están muy buenas esas medidas de seguridad...
gracias Cluster por ese código, me sirvió mucho... no sé si el referer es siempre creado por PHP -si la var $_SERVER['HTTP_REFERER'] siempre está aunque sea null- pero lo que se puede hacer es chequear que la variable no está vacía, y si no está, aplicarlo sin miedo a margen de error. creo que es importante por un lado la seguridad pero también reducir el margen de error, el costo, por ejemplo, que no haya errores para los navegantes. Por ejemplo, sería muy muy difícil que un navegante entre al form viniendo de otro sitio (sin embargo no es *imposible*; si, por ejemplo, se dispone a llenar el form, luego se acuerda de una cosa que tiene que consultar en otra página para poder rellenar el form, abre el historial y va, luego vuelve a la nuestra. O tal vez utilizando la barra de Google o de Yahoo en el MSIE y después apretando back. yo muchas veces hago eso, no precisamente a la hora de llenar el form... se podría decir que es un margen de error muy muy ínfimo pero lo pongo como ejemplo de cosas que pueden resultar inesperadas y que siempre salen), pero si eso sucede se le requerirá llenar el campo nuevamente por el referer, y si eso está combinado con chequeo de IP... tendrá que esperar para poder reenviarlo... yo no digo que chequear eso esté demás, por el mismísimo contrario, son muy buenas medidas de seguridad y les agradezco los datos
... es solamente que me preocupa, ya que, los usuarios o al menos el promedio no sabe de estas cosas, y se pueden enojar con uno por estas cuestiones de seguridad en algún caso inesperado, al menos hay que poner cuidado a la hora de la interfaz del sitio y poner explicaciones amables, etc, etc... Con respecto al referer, los usuarios de Opera, creo que este navegador trae *por defecto* el no usar referer logging, si no que para activarlo el usuario tiene que ir a las opciones. Esta opción creo que no se puede cambiar en el MSIE, en Mozilla tengo que verlo todavía....
de todas maneras utilizando una combinación de esas opciones, y siempre teniendo en cuenta que ninguna es infalible: los números de IP pueden variar, no siempre son fijos, etc; creo que utilizar variables de sesión es muy bueno también...; se puede lograr una muy buena combinación...
saludos