Publicado em 17 de jan.

segurança no get

Bom dia pessoal

EU quero saber se é necessário criptografar uma url com get ou apenas filtrar os dados na variável quando receber os dados.

Obs: Estou enviando o id de um produto para uma pagina onde monstra as configurações desse produto.

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

gabrieldarezzo· 17 de jan.

Criptografar a url pra que?

Sua ideia é a pessoa não conseguir acessar de maneira fácil?

Ex:

meusite.com.br/produto?id=50

E a pessoa 'chutar' o id 49?

Sobre segurança, é necessário sempre tratar qualquer dado de input do mundo externo (usuário)

Caso utilize Banco de dados:

//PDO:

$stmt = $pdo->prepare('SELECT * FROM employees WHERE id = :id');

$stmt->execute(array('id' => $_GET['id']));

foreach ($stmt as $row) {
 // do something with $row
}

...

//MySQLi :

$stmt = $dbConnection->prepare('SELECT * FROM employees WHERE id = ?');
$stmt->bind_param('s', $_GET['id']);

$stmt->execute();

$result = $stmt->get_result();

while ($row = $result->fetch_assoc()) { // do something with $row }

Vinicius Ianni· 17 de jan.

Não apareceu a url na postagem, mas supondo que seja uma url do tipo:

http:://servidor/pagina.php?id=11&produto=conjunto de verao azul

O tratamento que pode ser utilizado é removendo caracteres como ' "

remover também os espaços em branco a direita e a esquerda.

Se essas informações forem usadas para consultas no banco de dados, utilize pdo com bindParam e informando qual o tipo esperado na variavel:

$sql->prepare("select * from produtos where id = :id");
$sql->bindParam(":id", $id, PDO::PARAM_STR);

Algo assim.

xiro· 18 de jan.

Obrigado galera pela explicação. :) :)