En PHP / CodeIgniter, ¿cuál es la mejor manera de verificar si los datos de publicación HTML son lo que espera (si el usuario ha manipulado los valores HTML)?

Gracias por A2A!

No conozco PHP y CodeIgniter, pero el principio general es: no confíes en nada enviado por el cliente

Escapa de todo, usa transformaciones, busca inyecciones, asume que lo que se envía tiene la intención de piratear o romper algo .

Es bueno que estés pensando en estas preguntas de seguridad como nuevo desarrollador.

Lo primero que hay que decir es que un enfoque RESTful típico de la estructura del sitio web no sería incluir estos ID como campos de entrada, sino incluirlos en la URL que se publicará. Por ejemplo, http://mysite.com/users/5/posts/5 . Pero esto es aparte de su problema de seguridad porque otro desarrollador web aún podría entrar, cambiar la url a la que va y meterse con los registros de otro usuario. Asumiré que no está buscando revisar todo el funcionamiento de su sitio, así que hablemos en relación con su enfoque actual.

Para empezar, puede configurar estos campos de ID para que estén ocultos. Esto detendrá el juego accidental y casual con él.

Y luego, para el problema real, no hay forma de evitarlo: para mantenerlo seguro, debe proporcionar a su sitio un sistema de autenticación de inicio de sesión como CodeIgniter 3 Authentication – Community Auth. Una vez que haya hecho esto, no necesitará enviar la ID de usuario al navegador y volverla a ver porque ya sabrá la ID del usuario que inició sesión. En cuanto a la ID del proyecto, no es un problema si alguien cambia manualmente la ID a otro proyecto de su propiedad. Para proteger los que no poseen, sí, debe ejecutar esa verificación y enviar un error 403: prohibido o 404: no encontrado si intentan actualizar uno al que no tienen acceso.