Comprender este codigo (es teoria pura y dura)

[[kayetano]]

Cita:

Empezado por papulo

Esta informacion no la necesito, ¿es realmente necesaria?

Hombre .... puestos a trabajar poco te diré que no es totalmente necesario, pero yo soy de los que si hago algo quiero hacerlo bien, ademas:
- no cuesta nada poner las cabeceras
- estas aprendiendo y nunca biene mal conocer mas sobre las cabeceras.
- igual en un futuro lo necesitas y ya lo tienes hecho.
- cuanta mayor información proporciones mejor para el navegador (y las compatibilidades).

Cita:

Empezado por papulo

Esto es una practica que tengo que adoptar pero a la de ya mismo, siempre implemento las funciones y me olvido de añadir el codigo para comprobar que ha fallado, y por supuesto, si falla, no me entero nunca de donde.

Este punto no es aconsejable, es que casi es obligatorio.

Cita:

Empezado por papulo

Esto simplemente no tengo ni papa, ¿que quieres decir exactamente?

En internet existe gente que se aburre mucho, y de vez encuando uno de esos pasa por tu web y le da por trastearla o juguetear con ella.
Las tecnicas mas normales son intentar meter codigo, ya sea PHP o SQL, en las variables conocidas, en tu caso $id. Yo utilizo algunas funciones dependiendo del nivel de seguridad que necesite, por ejemplo

Código PHP:

    function seguridad( $valor ) {
        return addslashes( strip_tags( $valor ) );
    } 


Con esto eliminas tags y añades comillas a todo lo que sea necesario, algo facil para empezar. Con esto puedes filtrar cualquier variable que no tenga una procedencia segura.

[papulo]

Cita:

Empezado por kayetano

Hombre .... puestos a trabajar poco te diré que no es totalmente necesario, pero yo soy de los que si hago algo quiero hacerlo bien, ademas:
- no cuesta nada poner las cabeceras
- estas aprendiendo y nunca biene mal conocer mas sobre las cabeceras.
- igual en un futuro lo necesitas y ya lo tienes hecho.
- cuanta mayor información proporciones mejor para el navegador (y las compatibilidades).

Okis. Capto el mensaje, pero un ultimo favor con este tema. He mirado la ayuda oficial de PHP, esta funcion sale, pero la explicacion me deja un poco , asi que si me tuvieras que explicar por primera vez el tema de las cabeceras, ¿como lo harias? (si tienes un enlace que lo explique bien, lo pones y lo leo gustosamente)

Cita:

Empezado por kayetano

En internet existe gente que se aburre mucho, y de vez encuando uno de esos pasa por tu web y le da por trastearla o juguetear con ella.
Las tecnicas mas normales son intentar meter codigo, ya sea PHP o SQL, en las variables conocidas, en tu caso $id. Yo utilizo algunas funciones dependiendo del nivel de seguridad que necesite, por ejemplo

Código PHP:

         function seguridad( $valor ) {
             return addslashes( strip_tags( $valor ) );
         } 


Con esto eliminas tags y añades comillas a todo lo que sea necesario, algo facil para empezar. Con esto puedes filtrar cualquier variable que no tenga una procedencia segura.

la variable $valor supongo que es la que paso del .html al .php ¿cierto? Es que tal y como lo has puesto, se que pone, como va, pero no se cuando la llamas.

Asias neng.

Papulo.

EDITADO: Lo siento si soy cansino preguntando, pero es que la programacion, cada dia me resulta mas y mas fascinante, eso unido a mi personalidad curiosa, hacen una combinacion explosiva. ¡Jejejeje!
Acabo de leerme las funciones addslashes y strip_tags en la ayuda de PHP, la primera sirve para anteponer la "\" a ciertos caracteres y la otra para eliminar las etiquetas HTML y PHP de la cadena dada. Aunque no entiendo bien el concepto de "seguridad" que le das a la web con esa funcion. Lo de introducir codigo en mi pagina a traves del navegador si me ha quedado claro.

REEDITO: ¿Cual es tu definion de "variable que no tenga una procedencia segura"? Y ya puestos, la de variable segura se agradeceria tambien.

[[kayetano]]

Hola

Cita:

Empezado por papulo

Okis. Capto el mensaje, pero un ultimo favor con este tema. He mirado la ayuda oficial de PHP, esta funcion sale, pero la explicacion me deja un poco , asi que si me tuvieras que explicar por primera vez el tema de las cabeceras, ¿como lo harias? (si tienes un enlace que lo explique bien, lo pones y lo leo gustosamente)

Algunos respuestas mas arriba te explicaban el concepto de cabecera, pero probaré a darte una explicación.
Las cabeceras sirven para proporcionar información al navegador ¿que tipo de información? pues hay cabeceras de todo tipo y color, desde indicar el nombre de un archivo/imagen a solicitar al navegador que no coga la pagina de la cache, version del protocolo HTTP, y más.
En tu caso como poco habría que indicar tres cabeceras:
- Nombre.
- Tamaño.
- Tipo (este es la que has puesto).

Cita:

Empezado por papulo

la variable $valor supongo que es la que paso del .html al .php ¿cierto? Es que tal y como lo has puesto, se que pone, como va, pero no se cuando la llamas.

vale, yo lo utilizo asi:

Código PHP:

  ...
  $id = seguridad( $id );
  ... 


Claro esta antes de utilizar ese valor.

[roman]

Hola,

Este ha sido un hilo muy interesante. Muchas gracias al compañero kayetano por todas sus explicaciones. La verdad es que la "vapuleada" también me ha alcanzado. Mi conocimiento de los headers no va más allá de la explicación que dio David al principio y aunque ocasionalmente debo usarlos, siguen siendo un área oscura para mí con tantas variantes que tienen.

Yo lo de las imagenes no es que no lo supiera, es que ni siquiera me había pasado por la cabeza que se pudiera hacer algo así, de pasar en src un script.

Otra vez gracias kayetano, habrá que empezar el nuevo año estudiando más a fondo esta cuestión.

// Saludos

[[kayetano]]

Hola

hoy buscando cosas en el foro he encontrado estas preguntas y paso a contestar.

Cita:

Empezado por papulo

REEDITO: ¿Cual es tu definion de "variable que no tenga una procedencia segura"? Y ya puestos, la de variable segura se agradeceria tambien.

Cualquier variable con la que trabajes que porceda del exterior de tu página ya sea POST, GET, COOKIE, ... es una variable no segura, ¿por que? porque cualquier persona puede meter codigo, ¿que código? codigo SQL o PHP ¿como evitarlo? o lo eliminas o lo marcas como texto puro y duro.
Entonces una variable segura es aquella que, viniendo de fuera, ha sido filtrada o aquella que solo se usa internamente y que no se puede modificar desde el exterior de la página, por ejemplo sesiones, variables definidas en una funcion, variables definidas en cuarquier parte del PHP pero que son desconocidas para el usuario de la página (estas se puede decir que son de riesgo)