Buenos Días, acabo de terminar el trabajo con los comentarios en el sitio web que estoy desarrollando utilizo codeigniter como framework de php y he programado el sitio de tal manera que cuando un usuario entra al sitio este genera una session con los campos nivel, token, entonces cuando abre una noticia paso para un input oculto el valor del token y cuando este da clic en enviar comentario dentro del form tengo el input oculto el cual valido que su valor sea igual al del token que tengo en la session y en caso de ser igual pproceso a insertar el comentario.
Cuando entro con un usuario de nivel más alto muestro un button de eliminar comentario.
Los comentarios en la página web los mando a cargar por ajax.
Estos procedimientos son seguros o me aconsejan algunos cambios.
entre Desarrolladores
Recibe ayuda de expertos
Registrate y pregunta
Es gratis y fácil
Recibe respuestas
Respuestas, votos y comentarios
Vota y selecciona respuestas
Recibe puntos, vota y da la solución
Pregunta
Duda en seguridad web para el trabajo con Comentarios a Artículos
- preguntó
- Web
- 701 Vistas
- 2 Respuestas
- solucionada
2 Respuestas
Como no aclaras si ya lo haces, lo digo por si acaso: debes validar en el controlador que recibe el borrado de comentarios que efectivamente el usuario tiene permisos para borrar. No puede confiar el nivel de permisos sólo a si un usuario ve un botón en el front, después tienes que hacer una segunda comprobación.
Por otro lado, un par de ideas:
-
Si tienes miedo de recibir spam, puedes implementar un sistema de moderación de comentarios, con usuarios "validados" para que publiquen sin moderación y otros usuarios que envíen los comentarios a una cola.
- Durante los borrados, no borrar los registros directamente de la base de datos si no marcarlos como ocultos, cambiarlos de tabla... Así ante problemas de seguridad o programación limitas el alcance del problema.
Por favor, accede o regístrate para añadir un comentario.
bueno php es muy seguro,ahora eso de ocultar input no es tan aconsejable,alguien con conocimientos podria abrirse paso en esa brecha,a veces es mejor demorarse haciendo paginas distintas pero con funciones parecidas.
Por favor, accede o regístrate para añadir un comentario.
Por favor, accede o regístrate para responder a esta pregunta.
En el blog
-
- 676871
- 1
- Jul 5, 2015
Sin Respuesta
-
- 63
- 0
- Oct 18
-
- 155
- 0
- Jul 9
-
- 515
- 1
- Mar 19
-
- 384
- 2
- Feb 26
-
- 4577
- 0
- Nov 7, 2023
-
- 473
- 0
- Sep 19, 2023
-
- 451
- 0
- Ago 21, 2023
-
- 632
- 0
- May 14, 2023
- ver todas
Actividad Reciente
alyvrs preguntó Oct 19
Ayuda , necesito mostrar datos creados solo por el…ManHol preguntó Jul 9
pasar un archivo de excel a csv en pythonArtEze respondió Abr 24
Alguien sabe, no me ignorenArtEze seleccionó una respuesta Abr 24
Bajar extensión de Chrome sin actualizar el navega…ArtEze respondió Abr 24
Bajar extensión de Chrome sin actualizar el navega…ArtEze preguntó Abr 24
Bajar extensión de Chrome sin actualizar el navega…ArtEze respondió Abr 24
No me deja instalar OracleArtEze respondió Abr 24
Formulario que guarde los datos de un jsonArtEze comentó Abr 24
Script /boot/ scrapingSantiago2610 comentó Mar 23
Acualizar ChoiceField en django
Ultimas Preguntas
Usuarios Top
- Leonardo-Tadei
- 227320 Puntos
- Peter
- 150480 Puntos
- white
- 75880 Puntos
- carlossevi
- 63580 Puntos
- magarzon
- 30650 Puntos
- pregunton
- 20400 Puntos