seguridad al pasar variables por metodo GET

alexo · #1 (**permalink**) 27/04/2007, 13:27

Hola a todos, bueno les cuento he e estado haciendo algunas pruebas y la verdad hay momentos en los que he encontrado que es algo inseguro enviar valores de ciertas variables mediante GET, pero lastimosamente hay ocasiones en las que hay que hacerlo, lo que he hecho es si por ejemplo paso el valor de una variable he tratado de cifrarla de alguna manera para que sea dificil su interpretación por un usuario malicioso... me gustaria que me guien si estoy equivocado con este aspecto, y si es una buena practica la de ofuscar los valores de las variables enviadas mediante GET... gracias por sus comentarios...

el cirujano · #2 (**permalink**) 27/04/2007, 13:48

si se te hace muy forsoso el tener que enviar las variables por GET, te recomiendo que hagas en tu BD una tabla temporal y metas alli todos los parametros que el usuario necesita y trabajas con un poco de SESSION´es... algo asi como el buscardor de este foro... no te muestra en ningun lado lo que buscas sino simplemente una variable que se encarga de buscar los datos dentro de esa tabla... saludos!!!

marcosr · #3 (**permalink**) 27/04/2007, 14:03

Yo lo que hago que es lo que probablemente tu estás haciendo es:

Página que envía --->

Código PHP:

  $var = base64_encode("dato a cifrar");

header("Location: ../?dato=".$var);

Página que recibe -->

Código PHP:

  $var = base64_decode($_GET['dato']);

echo $var;

Saludos !!

alexo · #4 (**permalink**) 27/04/2007, 14:21

bueno la verdad he venido utilizando el metodo que menciona "marcosr" pero el problema es que si yo puedo hacer un base64_decode en la pagina que recibo lo podra hacer un usuario cualquiera y obtener el valor de la variable que estoy pasando... me parece muy interesante la opción que menciona "el cirujano"... porfavor corrigeme si me equivoco... lo que recomiendas es que en grabe en una tabla los parametros que pasa el usuario y el identificador de esos parametros seria la sesion actual del usuario... pero esto no haria un poco lenta la pagina o esta demora seria imperceptible para el usuario.?

el cirujano · #5 (**permalink**) 27/04/2007, 14:25

no, porque vas a usar solo 2 campos... uno para la SESSION actual y otro de tipo TEXT en donde vas a guardar los datos del GET que necesitas... danos un ejemplo de los datos que vas a enviar por favor...

PD: es recomendable meter como KEY principal la SESSION_ID() del navegador porque es unico para cada navegador....

alexo · #6 (**permalink**) 27/04/2007, 14:40

creo que voy entendiendo la idea un campo que es la primary key es la sesion del usuario y el otro campo tendria los campos a enviarse... por ejemplo quiero pasar estos campos: id_cliente, id_proveedor y id_usuario

el cirujano · #7 (**permalink**) 27/04/2007, 14:58

exacto, lo meterias todo en el mismo row... ejemplo:

index.php?op=modulo&action=delete&id=777

meterias en el campo

4137c56fd8995a5fb677d2f1c7e78f49 | op=modulo&action=delete&id=777

y donde necesites sacar los valores simplemente haces un echo respectivo a la SESSION y listo...

AdRiAnCeTe · #8 (**permalink**) 27/04/2007, 14:59

Y si usaras un

Código PHP:

  if($_SESSION['usuario']){

$var=$_GET['variable'];

}else{

header('Location:lalala.php');

}

Es decir, que pase por una pagina .php, le meta una sessiony luego verificas si ha pasado por dicha página, entonces guardas la variable, sino, pues redireccionas..nose si es eso lo que quieres

nicolaspar · #9 (**permalink**) 27/04/2007, 15:11

Si querés que no se alteren los datos del get, podes usar lo que explique en su momento en este thread.

De todas maneras, si el dato que levantas lo tratas con cuidado no debería preocuparte, imaginate sino como harían sitios como google (por decir uno que usa get y es de los más vistos).

alexo · #10 (**permalink**) 27/04/2007, 15:11

muchas gracias es lo que necesitaba les agradesco mucho por su ayuda....