Buenos días,
tengo la siguiente consulta

"SeLECT name, surname FROM users WHERE age = 15"

esta consulta no es que me parezca incorrecta o me vaya a dar algún fallo pero ¿debería hacerla mejor de la siguiente manera?

"SeLECT name, surname, age FROM users WHERE age = 15"

Lo que hice fue seleccionar no sólo el nombre y el apellido, sino que también seleccione la edad ¿Por qué? Porque como el método de búsqueda es por edad (age) me parece que tendría que agregar/seleccionar la edad para luego hacer la busqueda.

Aunque el select lo que hace es luego devolver únicamente los datos (nombre y apellido) para que los pueda usar en el código php no se si esto afecte en algo a la busqueda (where)

---

Mod: Temas sobre Bases de Datos van al subforo de Bases de Datos.

Ya tenia conciencia de que por medio de las url's se pueden definir variables php (dependiendo si tu configuración php decidiste que no lo permita) pero en los casos donde se necesita crear paginas "dinámicas", por ejemplo un perfil (profile?id=3) digamos nos mostraría el perfil del usuario con el id 3, toda su información... avatar, nombre, apellido, etcétera. Pero digamos que en otro caso tenemos lo siguiente...

Este código lo saque de la pagina desde donde tome la información a esta vulnerabilidad. (Te explican otras vulnerabilidades, muy interesante.. No se si se permite publicar el link)

<?php
if ($_GET['password'] == 'secreto') {
$admin = true;
}
 
[...]
 
if ($admin) {
// Acciones que solo puede realizar el administrador conociendo la contraseña
[...]
}
?>
 

Bueno en este código bastaría con que x usuario entre a la pagina que tiene este script, digamos que esta pagina se llama "page" entonces el "atacante" pondría "page?admin=1" y podría ingresar como un administrador.

La solución sería

<?php
$admin = false;
 
if ($_GET['password'] == 'secreto') {
$admin = true;
}
 
[...]
 
if ($admin) {
// Acciones que solo puede realizar el administrador conociendo la contraseña
[...]
}
?>
 

Definir la variable de una forma más global.

Bueno la idea no era hacer una guía, pero acá va mi problema...
mi duda viene de si se pueden hacer lo mismo con sessiones, ya probé en mi script y no veo cambios pero no estoy totalmente seguro. En la misma pagina desde donde vi esta información dice...

"Transferir parámetros en direcciones URL (por ejemplo http://domain.tld/script.php?id=1) es una forma común de pasar argumentos a scripts. Sin embargo, siempre debe ser consciente de que estos argumentos pueden ser establecidos a voluntad por el usuario. Esto significa que su contenido no debe considerarse digno de confianza. Lo mismo se aplica a los datos transmitidos a través de HTTP-post y cookies.

Esto es importante cuando se redirige de un script a otro y se transmiten parámetros en el URL o como cookie. El nuevo script no puede considerar estos parámetros como fiables y tiene que comprobarlos de nuevo. A menudo es más fácil usar las funciones de sesión de PHP. Los datos que se han comprobado y almacenado en la sesión ahora se pueden clasificar y utilizar como seguros. El usuario no tiene la posibilidad de cambiar el contenido de la sesión directamente.
El identificador de sesión se transmite como parámetro con el URL. Dado que se trata de una cadena generada aleatoriamente, la probabilidad de que un atacante pueda adivinar el identificador de una sesión ajena es extremadamente baja.

Dice "la probabilidad de que un atacante pueda adivinar el identificador de una sesión ajena es extremadamente baja" es decir, probabilidades hay....

Quería saber si esto es así y no tendré que preocuparme en que alguien edite sus sessiones o todo lo contrario.

Ah y ya que estoy... quería saber que es "Lo mismo se aplica a los datos transmitidos a través de HTTP-post y cookies" Me imagino que sería en el caso de las cookies "page?$_COOKIE['cualquier_cosa']=1"

¡Gracias!

---

Mod: Temas sobre PHP van al subforo de PHP.

No me deja publicar el tema que quiero me da error de una regla de seguridad fue aplicada, algo más de firewall y captcha..
Lo dejó en pastebin por que no me deja sino... (probe otras formas de escribir el tema pero da el mismo eror)

https://pastebin.com/Ft7t6GGX

---

Mod: Temas sobre Bases de Datos van al subforo de Bases de Datos.

Buenas noches,
en un tema pasado había explicado que si ponía funciones dentro de un $(document).ready me devolvía errores de que dichas funciones no estaban creadas (undefined), El problema nuevo por el que estoy pasando es que me pasa lo siguiente:

Código javascript normal

var valor_extra = 3;
 
function Sumar(a, b)
{
     var result = a + b + valor_extra;
     return result;
}
 

Implementando Jquery

$(document).ready(function(){
     var valor_extra = 3;
});
 
function Sumar(a, b)
{
     var result = a + b + valor_extra;
     return result;
}
 

Este código me dirá que hay un error: "Undefined valor_extra" que la variable valor_extra no está creada al momento de hacer uso de Sumar(x, y);

Buenos días,
estaba  haciendo un pequeño sistema y me encuentro con un problema, es que no consigo que un 'timeout' me devuelva un valor.

<button type="button" onclick="Correr_Funcion();">Presionar</button>
<script type="text/javascript">
var estado = false;
 
function Correr_Funcion()
{
	console.log(estado);
 
	if(estado == false)
	{
		estado = true;
		estado = setTimeout(TimerEx, 4000);
	}
	else
	{
		console.log('AGUANTA WUACHIN');
	}
}
 
function TimerEx()
{
	console.log('La función cargo correctamente!');
	return false;
}
</script>
 

Tengo conciencia que esto podría ser reemplazado donde en 'TimerEx()' dice return false; por estado = false; y en 'Correr_Funcion()' estado = setTimeout reemplazar por sólo setTimeout. Eso resolvería el problema, pero necesitaba que el timer me devolviera/retorne x valor y la deposite en una variable.

Buenas noches,
estoy implementando document ready (jquery) en todos mis códigos de javascript, según dicen hacerlo de esta manera es optimo para evitar errores. Sólo cuando el documento este listo se podrán usar los diferentes scripts o códigos de javascript.

$( document ).ready(function() {
    console.log( "ready!" );
});
 

Cabe destacar que esto funciona correctamente, y mostrará el mensaje por consola cuando el documento este listo, el problema radica cuando lo que pongo dentro de las llaves son funciones.

$( document ).ready(function() {
    function Sumar(a, b)
    {
          var resultado = a + b;
 
          return resultado;
    }
});
 

Si yo deseo usar esta función "Sumar(3, 7);" me va a dar error de que esta función no esta definida (undefined)

Gracias desde ya!

Básicamente eso,
cuales son las diferencias entre usar la función que tiene jquery ($(window).ready(function()) y ($(document).ready(function()) ya que no me termina de quedar muy en claro, si se pudiera también me interesaría entender cual es la diferencia entre un document load y un document ready.

¡Muchas gracias!

Buenos días,
Alguien me podría decir que tan seguro es la obtención de los token de captchas de google.
Estoy usando la (V3).

        <script src="https://www.google.com/recaptcha/api.js?render=6LdDN7cUAAAAAABDgIdmRS5bvN8sZM7hsn9DWfZ1"></script>
	<script type="text/javascript">
	grecaptcha.ready(function()
	{
		grecaptcha.execute('6LdDN7cUAAAAAABDgIdmRS5bvN8sZM7hsn9DWfZ1', {action: 'test'}).then(function(token)
		{
			document.getElementById('g-recaptcha-response').value = token;
		});
	});
	</script>
 
        <form id="LoginForm" method="post">
		<label for="email">Correo electrónico</label>
		<input type="email" id="email" placeholder="Email" name="email" required="true">
		<input type="hidden" id="g-recaptcha-response" name="g-recaptcha-response"> 
		<button type="submit" name="enviar">enviar</button>
	</form>
 

El token es "depositado" en un input hidden (invisible) pero si la persona a la hora de enviar el formulario hace click derecho (inspeccionar elementos) va a poder editar el valor de este input entonces ya no se hasta que punto sea seguro usar captchas de google o al menos este metodo de la V3, ojala existiera un método de obtener el token del lado del servidor y no del cliente. (Generalmente no me gusta hacer este tipo de cosas del lado del cliente)

Gracias!

Buenas noches.

Me gustaría saber como puedo obtener el nombre del archivo php que se esta ejecutado, es decir si yo estoy en index.php quisiera que me muestre en pantalla "index", puedo hacerlo usando esto de php "$_SERVER['PHP_SELF']" pero muestra toda una ruta, cuando yo solamente necesito obtener el nombre del archivo y además de que no tenga el .php o .html. Esto lo pude hacer con javascript. (Lo vi en algun post)

var page = location.pathname;
page_name = page_name.replace(/^.*[\\\/]/, '');
page_name = page_name.replace('.', '');
page_name = page_name.replace('.html', '');
page_name = page_name.replace('.php', '');
 

Pero me gustaría hacer algo igual pero con PHP, busque en el navegador pero no me sirven me dan errores (seguramente porque son temas desde el 2003 a el 2011 que pude ver)

---

Mod: Temas sobre PHP van al subforo de PHP:

Buenas noches.

Quería saber cual era o mejor dicho si existe una función para saber de ante mano si un dato que se le esta pasando a una función es un archivo/imagen.
la función is_file existe en php pero no creo que sea lo estoy necesitando.
Para meterlos en contexto este sería el código:

function Get_Format($photo)
{
	$result = '';
	$photo_information = new finfo(FILEINFO_MIME_TYPE);
	$photo_contents = file_get_contents($photo['tmp_name']);
	$mimeType = $photo_information->buffer($photo_contents);
 
	if($mimeType == 'image/jpg')
	{
		$result = '.jpg';
	}
	else if($mimeType == 'image/jpeg')
	{
		$result = '.jpeg';
	}
 
   	return $result;
}
 

y quería preguntar al programa antes de ejecutar las demás funciones si el dato que estoy enviando por parametro es un $_FILES

Gracias.

---

Mod: Temas sobre PHP van al subforo de PHP.