seguridad al pasar id usuario por GET?

mayid · #1 (**permalink**) 07/10/2010, 18:23

Es necesario tomar alguna medida de seguridad al propagar el id de un usuario por URL? Leí algo de esto en un foro, y me quedó picando la duda.

pateketrueke · #2 (**permalink**) 07/10/2010, 18:28

pues si el ID es numérico, y lo imprimes tu no debería haber problema...

ahora, que si al momento de recibir dicho ID no lo saneas pues claro que hay problema!!

mayid · #3 (**permalink**) 07/10/2010, 18:35

Si, el id es numero. Y no está codificado para nada.

Sanearlo es algo que pienso hacer solo a la hora de hacer consultas a db. Con eso alcanza, no?

Gracias pateketrueke!

pateketrueke · #4 (**permalink**) 07/10/2010, 18:39

Cita:

Iniciado por mayid

Si, el id es numero. Y no está codificado para nada.

Sanearlo es algo que pienso hacer solo a la hora de hacer consultas a db. Con eso alcanza, no?

Gracias pateketrueke!

si, por lo general uno como programador no debe -ni debería permitir- imprimir código malicioso (XSS), y si es contenido de un usuario entonces debe hacerse limpieza antes de insertar...

si procesas un dato numérico, bien debes limpiarlo y si... casi siempre basta con hacerlo antes de realizar una consulta, siempre!!

si no limpias tus variables al recibirlas es posible que sufras de SQLInjection, no mas...

elfeme · #5 (**permalink**) 07/10/2010, 19:41

Podrias verificar con un if(is_numeric($_GET['id'])){} si es numerico, y en caso de ser false haces un die(); o un else.

mayid · #6 (**permalink**) 07/10/2010, 19:48

Tamos. Gracias!

Sourcegeek · #7 (**permalink**) 07/10/2010, 20:48

Segun yo...
No se necesita ningun tipo de 'proteccion' a la hora de imprimir algo, siempre y cuando si uses seguridad a la hora de insertar algo..

Por ejemplo, para insertar yo utilizo mysql_real_escape_string para evitar SQL Injection y uso htmlentities para evitar XSS Injection..
Ya para mostrar resultados no uso nada :)