Há como Burlar readonly?

[Micilini Roll 49]

Opa pessoal em alguns input eu coloco uma tag nele readonly, ou seja! somente leitura...no meu input ready only eu so aceito Ip's de usuarios, no caso sera que há como alguem vindo da web acessar o site e mudar os valores desse input?

[Marcelo Garbin 30]

Se usar o Firefox e Firebug creio que sim, pois você pode editar o código html da página...

[Micilini Roll 49]

Posso editar codigo html da pagina certo? mas enviar o input para um formulario ele aceita mesmo assim: exemplo pratico:

 

Sendo que nao estou protegido por sql injection,o input nao esta sendo filtrado para sql injection pois ele é somente leitura! (desconsiderando que pode-se fazer uma injeção via url) , sera que pode-se mudar o codigo html do input tirando o readyonly e inserindo ali um comando de sql injection assim que for enviado o formulario,ele aceita o que foi digitado ou da erro?

[Marcelo Garbin 30]

Fiz um código para testes e consegui burlar pelo Firebug, só deletei a tag readonly do código fonte...

 

Segue o código:

 

<!doctype html>
<html lang="pt-br">
<head>
    <meta charset="UTF-8">
    <title>Readonly</title>
</head>
<body>
    <?php
        if(!empty($_POST["submit"])){

            if(empty($_POST["read"])){
                echo "Você não digitou nada!";
            }else{
                echo "Você digitou isto em readonly: ".$_POST["read"];
            }

        }        
    ?>
    <form action="readonly.php" method="post">
        <label for="read">Tente digitar um valor</label>
            <input name="read" id="read" type="text" readonly="readonly">    
            <input type="submit" name="submit" value="Testar">    
    </form>
</body>
</html>

 

Se o seu código PHP esta pegando via post o campo do formulário, acredito que pode sim...

[Micilini Roll 49]

Entendi entao podemos concluir que SIM, pode ser burlado isso ja responde muitas outras peruntas como talvez alterar nome de tags entre outros! ate a proxima! resolvido!! :yes: