PHP - Seguridad

 
Vista:

Seguridad

Publicado por Fonchi (6 intervenciones) el 03/09/2019 15:24:33
Hola amigos
Me preguntaba una cosa.
Llamo por ajax a un archivo php. Ese archivo php contiene lo siguiente:

- Un include para la conexion a mi base de datos. Lo pongo de la siguiente manera:
1
include ($_SERVER["DOCUMENT_ROOT"].'/ajax/conexion.php');
- Una consulta mysql

Es seguro incluir el archivo php de la conexion bd de esa forma?

Un saludo
gracias
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder
Imágen de perfil de joel
Val: 2.881
Oro
Ha mantenido su posición en PHP (en relación al último mes)
Gráfica de PHP

Seguridad

Publicado por joel (901 intervenciones) el 03/09/2019 21:27:49
Si, en principio no hay problema... solo se ejecuta en el servidor... lo que tienes que tener en cuenta, es como gestionas los valores que vienen del navegador, que es donde puedes tener problemas
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

Seguridad

Publicado por Fonchi (6 intervenciones) el 03/09/2019 22:37:16
Hola Joel!
Gracias por responder.
No entiendo muy bien a que te refieres con "los valores que vienen del navegador", si me pudieras explicar un poco mejor y busco informacion en google para informarme mejor

saludos
gracias de nuevo!
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar
Imágen de perfil de joel
Val: 2.881
Oro
Ha mantenido su posición en PHP (en relación al último mes)
Gráfica de PHP

Seguridad

Publicado por joel (901 intervenciones) el 04/09/2019 07:41:08
Hola Fonchi, me refiero a que los valores que vienen de la pagina web, compruebes que son realmente lo que esperas... es decir, si el usuario tiene que poner un numero en un <input type="number">, que revises que realmente llega un numero, ya que puede ser modificado y enviar una cadena, con lo que podrías tener un error en tu query o podrían hacerte "sql injection" dependiendo de como utilices la base de datos.
Creo que se llama sanitizar los datos...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

Seguridad

Publicado por Fonchi (6 intervenciones) el 04/09/2019 10:50:09
Ahhh vale, vale, ya te entendi.
Es para un boton de votar, siempre va a sumar +1, le puedo poner un if que verifique que la variable que llega es +1 y si es verdadero que inserte el valor en la bd. De eso modo ya estaria no?
Muchas gracias por tu ayuda
saludos!!
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar
Imágen de perfil de joel
Val: 2.881
Oro
Ha mantenido su posición en PHP (en relación al último mes)
Gráfica de PHP

Seguridad

Publicado por joel (901 intervenciones) el 04/09/2019 17:19:11
Si, exacto... en este caso, lo tienes muy fácil!!!

Para otras ocasiones, si tienes que esperar un numero, puedes comprobar, que realmente llega un numero, si esperas una fecha... etc...
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

Seguridad

Publicado por Fonchi (6 intervenciones) el 04/09/2019 17:43:36
Genial :)
muchas gracias por tu ayuda
saludos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar