Foros del Web » Programando para Internet » PHP »

Solicito consejo de seguridad para una funcion de eliminar

Estas en el tema de Solicito consejo de seguridad para una funcion de eliminar en el foro de PHP en Foros del Web. me dan un consejo de seguridad? Estoy haciendo un blog, hice un backend con autenticacion de usuarios donde se puede agregar/editar y eliminar noticias. Controlo ...
  #1 (permalink)  
Antiguo 11/04/2015, 13:06
Avatar de Hyemin  
Fecha de Ingreso: agosto-2014
Mensajes: 147
Antigüedad: 10 años, 3 meses
Puntos: 0
Solicito consejo de seguridad para una funcion de eliminar

me dan un consejo de seguridad?

Estoy haciendo un blog, hice un backend con autenticacion de usuarios donde se puede agregar/editar y eliminar noticias.

Controlo por sesiones que ninguna de esas paginas sea accesible por un usuario no valido pero el tema es que me gustaria evitar que reciba los parametros por URL manualmente.

Es decir, cuando un usuario ingresa a su pagina ve unicamente sus articulos en una tabla y puede eliminarlos, cuando hace clic en "eliminar" se le pregunta si realmente quiere borrar el registro y en caso afirmativo se le envia eliminar.php el ID de la noticia el cual procesa lasolicitud y la borra.

Ahora, si el usuario registrado ingresa manualmente la URL ****/eliminar.php?id=10 por ejemplo, la noticia se borra y eso hace que pueda borrar noticias de otros usuarios.

Hay alguna forma de prevenir que pueda hacer eso?

Por ahora voy a modificar la funcion borrar para que valide el autor de la noticia pero pregunto si no hay opciones mas simples
  #2 (permalink)  
Antiguo 11/04/2015, 22:02
Avatar de NueveReinas  
Fecha de Ingreso: septiembre-2013
Ubicación: No tan Buenos Aires
Mensajes: 1.101
Antigüedad: 11 años, 2 meses
Puntos: 145
Respuesta: Solicito consejo de seguridad para una funcion de eliminar

Comprueba la sesión al acceder al eliminar.php?id=10.
Si está validado/logueado como el administrador X, no podrá eliminar el post del administrador Y.
__________________
¿Te sirvió la respuesta? Deja un +1
  #3 (permalink)  
Antiguo 12/04/2015, 10:16
Avatar de NSD
NSD
Colaborador
 
Fecha de Ingreso: mayo-2012
Ubicación: Somewhere
Mensajes: 1.332
Antigüedad: 12 años, 6 meses
Puntos: 320
Respuesta: Solicito consejo de seguridad para una funcion de eliminar

La validación mas segura y simple es hacerlo directamente en la base de datos.

Tienes una tabla posts:
codigo | autor | texto | ...

En vez de usar una query asi:
Código MySQL:
Ver original
  1. DELETE FROM posts WHERE codigo = 10;

Pones una query que sea:
Código MySQL:
Ver original
  1. DELETE FROM posts WHERE codigo = 10 AND autor = 5;

Donde 10 es el codigo que envio el usuario y 5 es el codigo del usuario logueado que lo obtienes de la session.
__________________
Maratón de desafíos PHP Junio - Agosto 2015 en FDW | Reglamento - Desafios

Etiquetas: consejo, funcion, registro, seguridad, solicito, tabla, usuarios
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 11:42.