[Resolvido] Qual mais seguro, GET ou POST?

[Prog 183]

Como assim João? Esta sugerindo que o protocolo HTTP por si só implementa camadas de segurança na transferência dos dados? Que o protocolo por reconhece a origem dos dados submetidos, seja por qualquer um dos métodos?

[João Batista Neto 448]

Esta sugerindo que o protocolo HTTP por si só implementa camadas de segurança na transferência dos dados? Que o protocolo por reconhece a origem dos dados submetidos, seja por qualquer um dos métodos?

 

Não Prog, estou afirmando que se a requisição não tiver o objetivo exclusivo de recuperar informação, então ela deve ser feita por POST, PUT ou DELETE.

 

Veja que a pergunta do autor é bem específica, vou negritar algumas palavras chave:

 

estou fazendo sistema de, excluir, aceitar, rejeitar e queria saber o método mais seguro pra fazer alterações no BD.

 

Se haverá alteração na base, seja excluindo, adicionando ou modificando qualquer informação, então ele DEVE utilizar POST, PUT ou DELETE.

 

Just simple.

[Keven Jesus_164006 39]

Alguém poderia me dar um exemplo de como: Proteger e criptografar os dados passado por GET? Assim fica mais difícil do usuário malicioso alterar os dados via URL!!!

 

normalmente é feito comando no post ou get exemplo deles

 

'or=1'

 

no post se nao tiver validação vai dar um error de na sql na hora de executar

 

um simples que utilizo

 

mysql_real_escape_string($_POST['seila']); ou no get tanto faz

 

ele iria fazer isso

'/or=/'

 

jogo contra barra na função

[Wesley F Souza 1]

normalmente é feito comando no post ou get exemplo deles

 

'or=1'

 

no post se nao tiver validação vai dar um error de na sql na hora de executar

 

um simples que utilizo

 

mysql_real_escape_string($_POST['seila']); ou no get tanto faz

 

ele iria fazer isso

'/or=/'

 

jogo contra barra na função

 

Tipo, isso eu já fiz, queria saber um método de não poder alterar nada pela URL, pq se não o usuário pode alterar o db pela url um exemplo.

exemplo.php?ID=123 esse id altera o título de uma postagem. se o usuário colocar ID=124 na URL ele vai poder alterar o título desta postagem tbm. era isso que não queria.

[Keven Jesus_164006 39]

Tipo, isso eu já fiz, queria saber um método de não poder alterar nada pela URL, pq se não o usuário pode alterar o db pela url um exemplo.

exemplo.php?ID=123 esse id altera o título de uma postagem. se o usuário colocar ID=124 na URL ele vai poder alterar o título desta postagem tbm. era isso que não queria.

 

impedir que o usuario não altera a url meio impossivel.

se você fazer a validação correta ele pode mexer avontade lá que nada vai acontecer agora no caso de ID

 

se ainda tme muita duvida

Utilize URL amigavel assim não ficará exposto.

[João Batista Neto 448]

Vocês ainda estão discutindo sobre modificar dados através de GET??? Ninguém leu o link que passei?

 

Não se modifica nada via GET, é errado, é uma violação a especificação do protocolo HTTP. O método GET é apenas para recuperar informações, apenas isso, qualquer coisa diferente disso é errado.

[Alaerte Gabriel 662]

Pessoal, é muito simples... vejam a resposta e o link passado pelo João Batista, eu tive a gentileza de traduzir pra vocês pelo google.

 

:seta: http://translate.google.com.br/translate?sl=en&tl=pt&js=n&prev=_t&hl=pt-BR&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fwww.w3.org%2FProtocols%2Frfc2616%2Frfc2616-sec9.html

[João Batista Neto 448]

Valeu a intenção Alaerte, mas essa tradução do Google Translate me deu arrepios...

 

Esse link aqui é melhor para quem não tem afinidade com o inglês: http://imasters.com.br/artigo/23996/javascript/transferencia-de-estado-representacional-via-http-parte-01

[Alaerte Gabriel 662]

É verdade, fui ler e está horrível.

 

Bem, Com relação ao assunto em questão eu creio que ainda assim algumas pessoas terão dificuldades em entender o protocolo HTTP, O que não é um bicho de sete cabeças... O que ele quer dizer é que utilizem o método correto para cada situação.

[Prog 183]

De acordo com a especificação HTTP, levando em consideração apenas os métodos GET e POST, a única resposta para o seu questionamento é POST. Usar GET é errado, o método GET não foi desenvolvido para este propósito. Sim, ele funciona, mas não estamos aqui para discutir/alterar o que esta definido na especificação.

 

Quanto a segurança... não tem nada haver com segurança, você deve implementá-la.

[João Batista Neto 448]

De acordo com a especificação HTTP, levando em consideração apenas os métodos GET e POST, a única resposta para o seu questionamento é POST. Usar GET é errado, o método GET não foi desenvolvido para este propósito. Sim, ele funciona, mas não estamos aqui para discutir/alterar o que esta definido na especificação.

 

Quanto a segurança... não tem nada haver com segurança, você deve implementá-la.

 

Perfeito Prog, é exatamente isso!

 

:clap:

[Wesley F Souza 1]

Obrigado a todos pela amplitude de resposta!!! Tirou mais que minha dúvida, me fez aprender mais e o que é certo e errado.

Obrigado todos que acessão e contribui com o Forum e, parabéns ao João Batista :)

[Henrique Barcelos 290]

Não Prog, estou afirmando que se a requisição não tiver o objetivo exclusivo de recuperar informação, então ela deve ser feita por POST, PUT ou DELETE.

De fato, as respostas ficaram tão concentradas no quesito SEGURANÇA, que nos esquecemos da semântica da coisa :ermm:... Está mais do que correto João...

 

Edit: Posso marcar o tópico como resolvido então?

[Wesley F Souza 1]

De fato, as respostas ficaram tão concentradas no quesito SEGURANÇA, que nos esquecemos da semântica da coisa :ermm:... Está mais do que correto João...

 

Edit: Posso marcar o tópico como resolvido então?

Pode sim Henrique :)

[arthurbonora 0]

Bom vou passar como eu uso e não se é melhor ou pior....

 

acredito POST ser bem mais seguro, por isso dou prioridade, mas geralmente quando tenho que criar scripts rapidos e não desejo usar sessão ai prefiro o Get mesmo....