Validación de Formularios

german_1441 · #1 (**permalink**) 03/12/2015, 15:41

Hola a todos
Tengo una duda acerca de la validación en formularios
Como validar cuando un formulario viene de mi web?
Antes de ingresar al foro, estuve investigando, y no me ha quedado muy claro
(token, sesiones, variable http_reference)
Les agradecería mucho su ayuda

herzbazi · #2 (**permalink**) 03/12/2015, 16:02

a que te refieres con que viene de tu web ?

german_1441 · #3 (**permalink**) 03/12/2015, 16:09

Gracias por la pronta respuesta!
Por ejemplo, yo tengo mi sitio sitio.com
Para loguearme, ocupo un formulario con el action apuntando a sitio.com/login
Pero si yo estoy en otro sitio (otrositio.com) que al igual tiene un formulario, si cambio el action apuntando a sitio.com, me loguea de forma correcta, esto supongo no debería ser así (aunque te soy sincero no entiendo el porque :P )

herzbazi · #4 (**permalink**) 03/12/2015, 16:32

no estoy muy seguro pero mira esto creo que te puede ayudar , si no pues ya veremos que hacer

http://php.net/manual/es/features.http-auth.php

german_1441 · #5 (**permalink**) 03/12/2015, 18:23

Gracias amigo, pero creo q no va por ahí el asunto.
Perdon, creo que no fui muy especifico al inicio
Digamos que yo tengo en www.misitio.com el formulario:

Código HTML:

<form action="login.php">
<input type="text" name="email">
<input type="pass" name="pass">
<button type="submit">Login</button>
</form>

Y en mi archivo login.php:

Código PHP:

  $user = $_POST['email'];

$pass = $_POST['pass'];

/*Se hace el proceso de login */

Entonces, yo hice la prueba, por ejemplo, desde el formulario de Login de facebook, cambio el atributo 'action' del formulario para que apunte a "www.misitio.com/login.php"; y al enviar el formulario, me loguea en misitio.com...
esto lo quise hacer visceversa (loguearme a facebook desde www.misitio.com) y obviamente... no me deja hacer loguin en facebook.

Como había comentado, ya estuve leyendo, pero no me queda del todo claro
A lo más que llegue fue realizar el token (y su session) para validar, pero a final d cuenta es un parámetro más q se puede manipular

Espero haberme dado a entender un poco más (puesto q estoy algo confundido

)
Nuevamente gracias

herzbazi · #6 (**permalink**) 04/12/2015, 12:10

no estoy seguro que esta sea la forma correcta de hacerlo pero creo que puede servir

me cuentas

Código PHP:

Ver originalif(isset($_POST['oculto']) and $_POST['oculto']== "ok"){
    $url = $url="http://".$_SERVER['HTTP_HOST'].":".$_SERVER['SERVER_PORT'].$_SERVER['REQUEST_URI'];
    if(isset($url) && $url = "colacar la url de tu sitio"){
        echo "dan click desde la url correcta";
    }else{
        echo "no estan mandando los datos desde la url correcta , no me ejecutare";
    }
}
?>

Código HTML:

Ver original<form action="" method="POST">
    user
    <input type="text" name="nombre">
    password
    <input type="password" name="pass">
    <input type="hidden" name="oculto" value="ok">
    <input type="submit" value="Login">
</form>

si te funciona me dices y si no pues le seguimos buscamos la solución aunque estoy seguro que ahi si funcionara , no importando de que web envíen.\

german_1441 · #7 (**permalink**) 04/12/2015, 12:38

Gracias amigo, me has dado otra opción.
Yo había intentado ésta otra forma:

$url_mater = "www.misitio.com";

Código PHP:

Ver originalif(isset($_SERVER['HTTP_REFERER'])):
    $http_referer = $_SERVER['HTTP_REFERER'];
    $referer = parse_url($http_referer,PHP_URL_HOST);
    if($referer != $url_master){ 
            //Redirecciono al sitio de donde están haciendo la petición     
            header('Location: '.$referer);
        }else{
            //ejecuto mi script
        }
else:
   //No ejecuto nada
endif;

El detalle es que leí que no era nada aconsejable hacer este tipo de validación (con la variable $_SERVER['HTTP_REFERER'] ), ya que algunos navegadores no la envían de forma correcta, incluso encontré que también es una variable "fácil" de editar, p.e mediante plugins de firefox

Sabes que tan fiable es usar las variables que me sugieres??
Y aprovechando, que tan peligroso sería que alguien pueda hacer un loguin desde "x" sitio a "misitio"
Nuevamente, gracias por tus respuestas

herzbazi · #8 (**permalink**) 04/12/2015, 12:58

Cita:

Iniciado por herzbazi

no estoy seguro que esta sea la forma correcta de hacerlo pero creo que puede servir

me cuentas

Código PHP:

Ver originalif(isset($_POST['oculto']) and $_POST['oculto']== "ok"){
    $url = $url="http://".$_SERVER['HTTP_HOST'].":".$_SERVER['SERVER_PORT'].$_SERVER['REQUEST_URI'];
    if(isset($url) && $url = "colacar la url de tu sitio"){
        echo "dan click desde la url correcta";
    }else{
        echo "no estan mandando los datos desde la url correcta , no me ejecutare";
    }
}
?>

Código HTML:

Ver original<form action="" method="POST">
    user
    <input type="text" name="nombre">
    password
    <input type="password" name="pass">
    <input type="hidden" name="oculto" value="ok">
    <input type="submit" value="Login">
</form>

si te funciona me dices y si no pues le seguimos buscamos la solución aunque estoy seguro que ahi si funcionara , no importando de que web envíen.\

son seguras

german_1441 · #9 (**permalink**) 04/12/2015, 13:32

Ya hice una prueba amigo, y te cuento,
existe un inconveniente,
las variables que me comentas se cargan al acceder al archivo, en este caso "login.php"
entonces, cuando yo hago login desde mi web, imprimo la variable url

Código PHP:

Ver original$url = $url="http://".$_SERVER['HTTP_HOST'].":".$_SERVER['SERVER_PORT'].$_SERVER['REQUEST_URI'];

y me imprime http://www.misitio.com:80/index.php

y al hacer la misma prueba (loguin desde otro sitio)
me imprime lo mismo : http://www.misitio.com:80/index.php

herzbazi · #10 (**permalink**) 04/12/2015, 16:05

es que eso esta claro, el $url = te toma el valor de la url que tienes y despues ese valor lo comparas con la url estatica que manejas en tu caso no se cual se pero si pones por ejemplo www.miweb.com y la $url que esta tomando es de www.estaesmiweb.com entonces no lo hará no se si me explico

entonces si intentas hacer login desde otra web no te permitira.

tienes hosting?

si no tienes te presto dos hosting para que compruebes y veras lo que digo

german_1441 · #11 (**permalink**) 04/12/2015, 16:53

No tengo hosting personal amigo :( , lo siento
Si me haces favor te lo agradecería, porque de verdad que a mi me aparece la misma url, acceda desde www.misitio.com o desde www.facebook.com, siempre me imprime: http://www.misitio.com:80/index.php