domingo, 14 de septiembre de 2014

Control de datos y redirección de páginas en PHP - 1 de 2



1. Introducción

Los datos introducidos en un formulario no son seguros. De hecho, los usuarios pueden escribir letras cuando solicita una edad o introducir un código SQL que puede destruir su nombre. Esta última acción se denomina inyección SQL. Para evitar que un usuario pueda hacer inoperativo su sitio Web, es necesario proteger los datos introducidos. Se puede comprobar en JavaScript (lado cliente) que los datos introducidos se corresponden con lo que quiere, pero no es el propósito ni es suficiente. También debe codificar las comprobaciones en PHP (lado servidor) antes de guardar los datos en la base de datos.


2. Datos obligatorios

Esta prueba consiste en comprobar si el usuario ha reasignado una zona del formulario.

Las zonas de tipo texto, textarea, hidden y password se comprueban de la siguiente manera:

<?php
//Suponiendo que el formulario contenga el campo nombre
if ($_POST[’nombre’]!= ’’) {
echo "Su nombre es".$_POST[’nombre’];
}
else
{
echo "El nombre no se ha introducido.";
}
?>

En las áreas de tipo radio-button, checkbox y lista, la comprobación es:

<?php
//Suponiendo que el formulario contenga una lista llamada pais
if (isset($_POST[’pais’]) == true) {
echo "Los países son:";
print_r ($_POST[’pais’]);
}
else
{
echo "El país no se ha seleccionado.";
}
?>


3. Eliminación de espacios no deseados

Algunas veces los usuarios añaden espacios al final de su apellido y luego lo recuperan con el espacio con $_POST y guardan este valor en la base de datos. Esto puede causar algunos problemas si intenta comparar los apellidos. De hecho, "GÓMEZ" es distinto de " GÓMEZ ".

Para evitar esto, añada la función trim(), que elimina los espacios y a continuación el valor.

<?php
//Suponiendo que el formulario contenga el campo apellido
if (trim($_POST[’apellido’])!= ’’) {
echo "Su apellido es:".trim($_POST[’apellido’]);
}
?>


4. Longitud máxima

Esta vez el problema es la longitud de la cadena de caracteres que recupera con POST. Por ejemplo, el apellido no debe contener más de 20 caracteres, ya que la base de datos no lo acepta. Puede realizar una comprobación inicial introduciendo el atributo maxlength=20 en la etiqueta <input type= "text" />, pero no es suficiente. También debe realizar el control del servidor en PHP:

<?php
//Suponiendo que el formulario contenga un campo apellido
$apellido = trim($_POST[’apellido’]);
if (strlen($apellido) <= 20) {
echo "Su apellido es:".$apellido;
}
else
{
echo "El apellido contiene más de 20 caracteres.";
}
?>


5. Caracteres permitidos

Una vez que haya comprobado que sus datos no están vacíos y que la longitud es correcta, debe revisar que no contengan caracteres no permitidos. Por ejemplo, la edad no debe contener letras y el correo electrónico debe incluir un punto (.) y @. Para realizar esto correctamente, utilice las expresiones regulares que hemos visto con anterioridad.

Por ejemplo, para comprobar que la contraseña contiene letras y cifras entre 4 y 8 caracteres:

<?php
//Suponiendo que el formulario contenga un área password
$password = $_POST[’password’];
if (!preg_match(’`ˆ[[:alnum:]]{4,8}$`’,$password)) {
echo "La contraseña no es válida.";
}
else
{
echo "La contraseña es válida.";
}
?>

Por ejemplo, para comprobar si un número de teléfono es válido:

<?php
//Suponiendo que el formulario contenga una zona teléfono
$telefono = $_POST[telefono];
if (preg_match("#ˆ0[1-9]([-. ]?[0-9]{2}){4}$#", $telefono))
{
echo El número es válido.’;
}
else
{
echo "El número no es válido.";
}
?>

Por ejemplo, para comprobar si una fecha es válida:

<?php
//Suponiendo que el formulario contenga un área fecha
$fecha = $_POST[’fecha’];
/* Divide la fecha en tres partes y asigna los dias a $dd,
los meses a $mm y el año a $yyyy */
list($dd, $mm, $yyyy) = explode("/",$fecha);
/* Validación de la fecha con la función checkdate*/
if(! checkdate($mm, $dd, $yyyy))
{
echo "Fecha no válida";
}
else {
echo "Fecha válida";
}
?>


6. Magic quotes

Los datos que recupera por $_GET o $_POST se pueden utilizar para insertarlos en una base de datos. Para ello, utilice el lenguaje SQL y así podrá crear una consulta SQL como la siguiente:

$sql = "INSERT INTO client (apellido, nombre, comentario) VALUES
(’GÓMEZ’,’ROBERTO’,’correcto’)";

Puede surgir un problema si el usuario introduce una cadena de caracteres que contiene un apóstrofo, por ejemplo: L’Hospitalet.

La variable $sql se convierte en:

$sql = "INSERT INTO client (apellido, nombre, poblacion) VALUES
(’GÓMEZ’,’ROBERTO’,’L’Hospitalet’)";

Se produce un error porque hay un apóstrofo después de la letra L.

Magic quotes es una funcionalidad PHP que se puede argumentar en el archivo php.ini, y permite proteger automáticamente los datos que han transmitido GET, POST o COOKIE.

Esta función evita los caracteres especiales, es decir, añade el carácter \ (barra invertida) delante de ’ (apóstrofos), " (comillas), \ (barras invertidas) y NULL.

Sin embargo, esta funcionalidad está obsoleta desde la versión 5.3.0 de PHP y ya no existe desde la versión 5.4. Se recomienda que usted mismo asigne los caracteres especiales. Para desactivar magic quotes, introduzca el valor magic_quotes_gpc = Off en el archivo php.ini.

La función addslashes() desempeña la misma tarea, ya que evita los caracteres especiales.

Para evitar que un usuario guarde scripts maliciosos, utilice la función htmlspecialchars(), que convierte los caracteres especiales como < o > en &lt; o &gt;.

Esta función toma como argumento la cadena de caracteres que hay que codificar, y como argumentos opcionales la opción, el juego de caracteres y la doble codificación.

La opción puede contener tres valores:
  • ENT-NOQUOTES: ninguna conversión.
  • ENT-COMPAT: conversión de las comillas, pero no el apóstrofo.
  • ENT-QUOTES: conversión del apóstrofo, pero no las comillas.


El juego de caracteres es UTF-8, en lugar de ISO-8859-1 desde la versión PHP5.5 por defecto.

La doble codificación permite codificar una cadena que ya está codificada si el valor es true.

La función htmlspecialchars_decode() permite la conversión inversa.

En el siguiente ejemplo, el código que recibe los datos está protegido correctamente:

<?php
//Suponiendo que el formulario contenga un área password
$password = htmlspecialchars (addslashes(trim($_POST[’password’])));
echo "Puede poner la variable $password en su consulta SQL.";
$sql = "INSERT INTO client (apellido, password) VALUES
(’GÓMEZ’,’".$password."’)";
?>

También puede utilizar la función htmlentities(), que equivale a la función htmlspecialchars(), salvo que transforme todos los caracteres especiales HTML.


7. Redirección de página

A veces es muy útil llamar una página PHP sin hacer clic en un botón. Para ello puede redireccionar una página PHP con la función header().

Para redireccionar una página PHP o HTML, debe utilizar el atributo location de la función header().

Por ejemplo:

<?php
header("Location:http://www.google.es"); // Redirecciona a
// http://www.google.es
?>

O bien:

<?php
header("Location:redireccion.php"); // Redirecciona la página
// redireccion.php
?>

O al pasar los argumentos:

<?php
header("Location:redireccion.php?apellido=Gómez&nombre=Juan");
// Redirecciona la página redireccion.php que pasa apellido y nombre
// como argumento
?>

Para llamar las páginas PHP en URL absoluta, debe utilizar las variables globales $_SERVER[’HTTP_HOST’] que dan el nombre del servidor y $_SERVER[’PHP_SELF’] que dan la ruta y el nombre de la página PHP actual:

<?php
$url_absoluta = "http://".$_SERVER[’HTTP_HOST’].rtrim(dirname($_SERVER
[’PHP_SELF’]),’/\\’).’ /redireccion.php’;
header("Location:".$url_absoluta); // Redirecciona la página
// redireccion.php
?>


La función header() envía las consultas http a la página HTML y las acciones se explican en el siguiente sitio Web: http://php.net/manual/es/function.header.php

Su página PHP no debe contener código HTML y por tanto ningún echo antes de utilizar la función header, ya que provoca un error.



Espero haber ayudado en algo. Hasta la próxima oportunidad!






No hay comentarios:

Publicar un comentario

       

Etiquetas

Academy (23) Accediendo a datos con ADO .NET (31) Acceso a la red (30) Algoritmo (34) Algoritmos en JAVA (2) Ampliación de clases (2) APRENDA A PROGRAMAR COMO SI ESTUVIERA EN PRIMERO - Autores : IKER AGUINAGA (3) APRENDA A PROGRAMAR COMO SI ESTUVIERA EN PRIMERO - Autores : IKER AGUINAGA (10) Aprendiendo a desarrollar en Windows 8 (5) Aprendiendo UML en 24 Horas (Autor : Joseph Schmuller ) (30) Arquitectura (29) Arquitectura del Computador (3) Arquitectura del Computador - Historia de la informática (1) Asignación de direcciones IP (18) Aspectos fundamentales de bases de datos (5) Auditoría de la dirección (2) Auditoría de Sistemas (3) Auditoría Informática - Un enfoque práctico - Mario G . Piattini y Emilio del Peso (7) Avanzado (23) Base de Datos (67) Básico (23) Bios (29) Business Productivity Online Suite - BPOS (3) Capa de Red (22) Capa de Transporte (16) Capítulo 1 - Documentos HTML5 (6) Capítulo 10. API Web Storage (2) Capítulo 11. API IndexedDB (4) Capítulo 12. API File (1) Capítulo 2. Estilos CSS y modelos de caja (7) Capítulo 3. Propiedades CSS3 (4) Capítulo 4. Javascript (6) Capítulo 5. Video y audio (6) Capítulo 6. Formularios y API Forms (8) Capítulo 7. API Canvas (5) Capítulo 8. API Drag and Drop (2) Capítulo 9. API Geolocation (2) CCNA1 v5.0 (195) CCNA1 v6.0 (23) CCNA2 v5.0 (26) CCNA3 v5.0 (25) CCNA4 v5.0 (23) CD-ROM (3) Chapter 1 How does Xamarin.Forms fit in? (7) Chapter 2 Anatomy of an app (5) Cisco (297) Cloud Computing (3) CNNA v5.0 Routing & Switching (216) CNNA v6.0 Routing & Switching (2) Codigo (2) Computadora (32) Configuración (29) Configuración de un sistema operativo de red (21) Control (29) Creación de tipos de datos y tablas (3) Creación y Administración de bases de datos (3) Creando la Interface de la Aplicación Windows (50) Creating Mobile Apps with Xamarin.Forms (13) Cuenta (29) Curso (32) Curso Aprendiendo a Programar (25) Datos (3) Desarrollando en Windows 8 - AVANZADO (2) Desarrollando en Windows 8 - BÁSICO (3) Desarrollando en Windows 8 - INTERMEDIO (2) Desarrollo (2) Desarrollo .Net (21) Desarrollo avanzado de Windows Store Apps usando C# (1) Desarrollo basado en conceptos de Ingeniería de Software para Visual Studio (2) DESARROLLO DE APLICACIONES WINDOWS CON MICROSOFT .NET (37) DESARROLLO DE APLICACIONES WINDOWS CON MICROSOFT .NET (Autor: Luis Dueñas Huaroto) (29) Desarrollo en Microsoft Visual Studio (44) Desarrollo en Microsoft Visual Studio - AVANZADO (15) Desarrollo en Microsoft Visual Studio - BÁSICO (14) Desarrollo en Microsoft Visual Studio - INTERMEDIO (18) Desarrollo en Windows Phone 8 (13) Diagnostico (4) Diagrama (3) Diagramas de actividades (2) Diagramas de colaboraciones (2) Diagramas de secuencias (2) Digital (2) Diplomado (2) Disco (29) Disco Duro (4) Diseño de aplicaciones de Windows 8 en HTML 5 (7) Dispositivos Electrónicos (11) Doctorado (2) Ejemplos (3) Ejemplos de algoritmos (27) El camino hacia el CSS3 (3) El diseño web flexible (6) El elemento de diseño Canvas (3) El enfoque de los sistemas (3) El flujo de un programa (2) El gran libro de HTML5 - CSS3 y Javascript - Autor: Juan Diego Gauchat (55) El principio de organicidad (7) Electrónica (2) Elementos de un sistema (5) Empresas (2) Entrada y salida (4) Entropía y neguentropía (7) Estrategia (2) Estructura de un programa Java (12) Estructuras de almacenamiento (10) Estructuras de control (6) Estructuras de las tablas en SQL Server (2) Estructuras fundamentales de los datos (2) Ethernet (21) Evolución y Familias de los Microprocesadores (15) Exámen (23) Exploración de la red (23) Extensión de clases (4) Facebook (4) Familia Intel (15) Forefront (8) Función (3) Funciones de una red (12) Funciones de una red informática (1) Fundamentos de C# para absolutos principiantes (17) Fundamentos de programación en Java (50) Generaciones de la computadora (5) Gestión (3) Gestión de riesgos - Auditoría de Sistemas (1) GONZALO MARTÍNEZ (1) Grupos Facebook (1) Harvard (29) Historia de las computadoras (11) HTML5 y CSS3 - Autor: Christophe Aubry (99) HTML5 y CSS3 aplicadal texto (7) HTML5 y CSS3 para los formularios (15) Imágenes (2) Implementación de Windows 7 (11) Información (31) Informática (29) Ingeniería (4) Instalar (29) Inteligencia (2) Inteligencia de Negocios con SQL Server (3) Intermedio (23) Internet (29) Internet Explorer 9 (3) Introducción a ASP.NET 5 (8) Introducción a Java (7) Introducción a jQuery (8) Introducción a la Auditoría de Sistemas (2) Introducción a la teoría general de sistemas (Oscar Johansen Bertoglio) (39) Introducción a Networking (2) Introducción a Window Forms (5) Introducción al acceso a datos con ADO .NET (9) Investigación de Operaciones (12) Java (52) Jump Start de consultas en las bases de datos de Microsoft SQL Server 2012 (8) La definición de un Sistema (6) La evolución del HTML y del CSS (3) La nueva sintaxis HTML5 (12) LA QUINTA DISCIPLINA en la práctica (Autor : Peter Senge) (28) Las animaciones en CSS3 (5) Las transformaciones CSS3 (11) Las transiciones con CSS3 (8) Licenciamiento Microsoft (3) Local Area Network (LAN) - Red de Area Local (2) Lógico (2) Los elementos de la estructura en html5 (9) Los elementos multimedia: audio y vídeo (2) Los estilos de caja en CSS3 (13) Los nuevos selectores de CSS3 (6) Maestría (2) Mantenimiento de Mouse y Teclado (2) Manual de Microsoft SQL Server - Full Transact SQL (68) Manual de soporte técnico para escuelas sobre windows 7 (42) Marco Teorico de Investigación de Operaciones (6) Medios de Almacenamiento (11) Medios de Networking (2) Mejorando la Interface de las Aplicaciones Windows (26) Memoria Tipos y Clases (5) Método (2) Metodología (1) Microsoft (324) Microsoft Lync 2010 (7) Microsoft Silverlight 4.0 (2) Microsoft Virtual Academy (356) Modelo (2) Modelo OSI y TCP-IP (2) Modelos con poco grado de dificultad de Programación Lineal - Investigación de Operaciones (13) Modelos con razonable grado de dificultad de Programación Lineal - Investigación de Operaciones (10) Modelos de desafio de Programación Lineal - Investigación de Operaciones (5) Modelos difíciles de Programación Lineal - Investigación de Operaciones (5) Modelos Fáciles de Programación Lineal - Investigación de Operaciones (13) Modelos lineales con solver (3) Modulo (23) Movimiento (2) Mozilla (29) MS SQL Server (77) MS Virtualization para Profesionales VMware - Gestión (3) MS Virtualization para Profesionales VMware- Plataforma (4) MVA (263) Negocio (2) Nivel Avanzado Desarrollo .Net (6) Nivel Básico Desarrollo .Net (11) Nivel Intermedio Desarrollo .Net (8) Normas técnicas peruanas y su evolución - Auditoría de Sistemas (1) Nube Privada - Avanzado (6) Nube Privada - Básico (6) Nube Privada - Intermedio (6) Office 365 (3) Optimización de Escritorio (10) Optimización de Escritorio - Avanzado (4) Optimización de Escritorio - Básico (3) Optimización de Escritorio - Intermedio (3) ORACLE 10g - ADMINISTRACIÓN Y ANÁLISIS (3) Oracle 10g y el Grid Computing (3) Organización aleatoria y secuencial (1) Partes principales de la Mainboard (12) Perceptron (2) Perfil (2) Periféricos de Entrada / Salida (15) Pesi (2) PHP y MySQL - Manual de aprendizaje para crear un sitio web - Autor : Olivier ROLLET (79) Plan (2) Plataforma (29) PMBOK (24) PMBOK - Guía de los fundamentos para la dirección de proyectos (24) PMBOK - INFLUENCIA DE LA ORGANIZACIÓN Y CICLO DE VIDA DEL PROYECTO (6) PMBOK - Introducción (11) PMBOK - PROCESOS DE LA DIRECCIÓN DE PROYECTOS (5) Prevención - Herramientas e Instrumentos de Medida (9) Principios básicos de enrutamiento y switching (169) Proceso (2) Proceso de auditoría de sistemas informáticos (2) Programación en Android - Auor : Salvador Gómez Oliver (46) Programación paso a paso de C# - Autor : Nacho Cabanes (16) Protocolos y comunicaciones de red (17) Proyecto (2) Qué es un sistema (4) Red de Área Local Inalámbrica (WLAN) (4) Redes (30) Redes inalámbricas - WIRELESS - Conocimiento general (15) Redes neuronales (2) Redes y Comunicaciones (45) Reparación de Fuentes - UPS - Estabilizadores (10) Reparación de Impresoras (9) Reparación de Monitores (16) Router (29) Seguridad en la Nube (3) Seminario (23) Server (24) Sharepoint 2010 - Nivel Básico (6) Sharepoint 2010 - Niveles Avanzados (18) Sharepoint 2010 - Niveles Avanzados - Básico (8) Sharepoint 2010 - Niveles Avanzados - Intermedio (9) Sinergia y recursividad (4) Sistema (33) Sistema de Cableado Estructurado (9) Software (30) SOLUCIÓN GRÁFICA DE MODELOS DE PROGRAMACIÓN LINEALES - INVOPE (8) Soporte a Infraestructura (3) SQL (38) SQL Azure - Introducción (3) Subsistemas de control (4) Tablas (4) Tarjeta Principal del Sistema (10) Tarjetas de Interfaces (7) Tecnología (31) Tecnologías LAN (1) TEORÍA GENERAL DE SISTEMAS (1) Tic (2) Tipo (2) TML5 y CSS3 - Autor: Christophe Aubry (12) Trabajando con el Formulario (7) Un diseño HTML5/CSS3: dConstruct 2011 (3) Un diseño HTML5/CSS3: FlipThru (2) Un diseño HTML5/CSS3: The Cat Template (2) Usando Controles Windows Forms (12) Usando Herramientas de Datos de Visual Studio (6) Ventas (2) Virtualización Hyper - V Nivel Básico (5) Virtualización Hyper - V Nivel Intermedio (5) What’s New in Windows 8.1 Security (4) Window (29) Windows 7 Segunda Fase - AVANZADO (4) Windows 7 Segunda Fase - BÁSICO (6) Windows 7 Segunda Fase - INTERMEDIO (4) Windows 8 - Vista Previa (4) Windows 8.1 To Go (2) Windows Azure (3) Windows Phone 7 (2) Windows Server 2008 R2 (3) Windows Server 2012 - Gestión y Automatización (3) Windows Server 2012 R2 Essentials (7) Windows Server 2012: Almacenamiento (5) Windows Server 2012: Identidad y Acceso (4) Windows Server 2012: Revisión Técnica (7) Xamarin (1)

Páginas vistas en total según Google