[SOLUCIONADO] Validar al recibir variables por POST

Cota_Isla · #1 (**permalink**) 21/02/2014, 04:31

Buenas,
estoy iniciándome en la programación en PHP y me preguntaba si tiene sentido validar las variables POST en la pagina de recepción de un formulario.
Un saludo y gracias de antemano.

Heli0s · #2 (**permalink**) 21/02/2014, 05:17

Claro que tiene sentido, toda variable externa puede ser modificada, por lo tanto cuanta más validación, mejor.

Un saludo

supercoco79 · #3 (**permalink**) 21/02/2014, 08:26

Cita:

Iniciado por Cota_Isla

Buenas,
estoy iniciándome en la programación en PHP y me preguntaba si tiene sentido validar las variables POST en la pagina de recepción de un formulario.
Un saludo y gracias de antemano.

No solo tiene sentido sino que además debes hacerlo por varias razones. Entre ellas:

1. Validar tus entradas impedirá que tus scripts se comporten de una manera inesperada, evitando errores innecesarios.
2. Mejora la usabilidad de la web. Eso sí, te recomiendo que el formulario sea populated, es decir, que conserve los valores de entrada en tus inputs en caso de que falle la validación.
3. Y el más importante: la SEGURIDAD. Puede que algún usuario malintencionado intente introducir código a través del mismo, pudiendo hackear datos e incluso claves.

No dejes nada al azar y acertarás. Sé de primeras que la validación de los formularios es una carga pesada, y además, aburrido hasta más no poder, pero te repito que en mi opinión es una obligación.

Saludos!!!!

ghost_darknet · #4 (**permalink**) 21/02/2014, 14:08

Hola, una manera la cual yo me baso para darle algo de seguridad a la variales es con el PHp Sanitize.

te dejo un ejemplo

Código PHP:

Ver original$var = filter_input (FILTER_POST, 'variable_post_nombre', Metodo)

Te dejo el link de la pagina oficial

http://php.net/manual/es/filter.filters.sanitize.php

elporfirio · #5 (**permalink**) 21/02/2014, 14:33

ademas de eso puedes restringuir las entradas...

por ejemplo si vas a recibir una clave como un carnet, ID o CURP (depende el pais) ya conoces la cantidad Maxima de caracteres.

hacer un simple substr($_POST["input"]); le mete mucha seguridad, algo sencillo no?.

Cota_Isla · #6 (**permalink**) 21/02/2014, 20:41

Vale muchas gracias! más que nada lo preguntaba porque a lo mejor si a través de un input introduzco un DNI y este input le obligo que tenga un patrón, pero algun hacker lo evita, por eso seria necesario validar antes d introducir en la BD no?

Con respecto a vustras respuestas no se lo que es formulario populated?

El ultimo método que me comentais parece el mejor no? ya que se usan funciones propias de php.

Añadir que mi aplicación es mono usuario, solo la usará el administrador.

Muchas gracias y un saludo!

arcanisgk122 · #7 (**permalink**) 22/02/2014, 02:39

exacto lo que comentas, antes de meter alguna informacion a la base de dato pasale todo los filtros que sean necesarios hasta encriptalos, para asi evitar algo llamado "SQL injeccion" muy popular y que hasta el momento

Cota_Isla · #8 (**permalink**) 22/02/2014, 04:08

vale lo que he usado mas que nada son comparaciones de tamaños, de tipos... acorde a los inputs del formulario.
Adjunto el código por si me recomendáis alguno mas:

Código PHP:

  $n_post = count($_POST);

                    $valores = array_values($_POST);

                    for($i=0;$i<$n_post;$i++)

                    { 

                        if(empty($valores[$i]))

                        {

                            $enviar = false;

                            break;

                        }

                    }

                    if($enviar)

                    {

                        $t = preg_replace('/\s\s+/',' ',mysqli_real_escape_string($conex,$_POST["tit_not"]));

                        if(strlen($t)>24 || strlen($t)<2 || is_numeric($t) || is_numeric(substr($t,0,1)))

                            $enviar = false;

                        $categs = ["General","Actividades","Grupos","Instalaciones","Tarifas","Competición"];

                        if(in_array($_POST["cat_not"],$categs,true))

                            $c = mysqli_real_escape_string($conex,$_POST["cat_not"]);

                        else

                            $enviar = false;

                        $d = mysqli_real_escape_string($conex,$_POST["desc_not"]);

                        $d = preg_replace('/\s\s+/',' ',filter_var($d,FILTER_SANITIZE_STRING));

                        $d = str_replace("'", " ", $d);

                        if(strlen($d)>190 || is_numeric(substr($d,0,1)))

                            $enviar = false;

                    }

manuel__7 · #9 (**permalink**) 22/02/2014, 06:08

Yo diría que no es necesario, es obligatorio... Toda variable que se envia debe ser analizada según lo que requirmos que haga esa pagina de validación de usuario y que solo cuando todas las condiciones que hemos puesto a esa variable se cumplan, se proceda a ser insertada en la base de datos...