validare form PHP, cambiare action e invio info

[luca9]

Ciao,

ho un problemino.

Per problemi di sicurezza vorrei validare in php i dati di un form html. L'utente non deve modificare i valori del form. Non posso evitare questo usando javascript perchè non è sicuro.

Devo usare PHP.
Se l'utente non ha modificato i valori degli input vorrei cambiare l'action del form (inserendo quello denifitivo) e cosi con il submit inviare la richiesta dati.

codice HTML:

<form method="post" action="" name="control">
<input type="text" name="firstName" value="Name">
<input type="hidden" name="action" value="Register">
</form>

Se l'utente non ha modificato il valore 'Register' del campo action, cambio action del form e avvio il submit per l'invio delle informazioni.

Spero che sono riuscito a spiegarmi.
Come devo fare?

[m4rko80]

Ciao, forse non ho ben capito ma la form non e' editabile? se i valori non sono stati cambiati esegui il submit aggiungendo la action che ora e' vuota?
Ad ogni modo le validazioni lato client sono utili e comode per aiutare l'utente a compilare il tutto senza dover fare troppi controlli successivamente lato server. Ma e' sempre giusto fare il controllo definitivo anche lato server prima di registrare i dati.

[luca9]

no il form non è editabile perchè viene compilato in maniera automatica. L'input firstname è hidden, ho sbagliato nel codice allegato.

L'utente non deve modificare i valori.
Voglio fare in modo che se un utente modifichi gli input hidden con la console di firefox ad esempio, venga bloccato quando fa il submit del form.
Non posso farlo con javascript perchè non serve a nulla.

Come posso fare?

[m4rko80]

Ho capito. Non puoi mettere quel valore hidden in una variabile di sessione così da non usarla nell'html?

[luca9]

Ok, ma se inserisco il valore register nella sessione PHP, come posso dopo a richiamarla nel form senza che l'utente la veda e permettergli di fare il submit?


Devo sempre inserire un input.

[m4rko80]

Non conoscendo il flusso della tua registrazione(se e' questo che stai facendo) e' un po' difficile azzeccare una soluzione.
Comunque sia dovresti arrivare sull action Register per salvare i dati.
In base alla action Register o altri mi pare di capire che fai qualcosa in base a questa.
Dovrebbe essere lo script a "capire" se la action è giusto che faccia qualcosa o meno. Cosi' da quel che ho capito mi pare la form posso essere riciclata per altri tipo di azioni(register, magari update , del... ).
Se il problema e' questo potresti verificare la pagina di provenienza per determinare l'azione successiva di questa form. Non avendo il codice in mano mi viene difficile pensare ad altro.

[luca9]

Sto testando tutto su un form in semplice html.

Il mio obiettivo però è di fare la stessa cosa con il form per il pagamento di Paypal.
I pagamenti via Paypal vengono avviati con un classico form con input hidden e l'action è l'url di paypal.
Con lo script voglio controllare, prima di inviare a PP, che i dati degli input hidden siano corretti.
Aumento cosi la sicurezza del form.

Come si può fare?

[m4rko80]

Non ho mai usato paypal sinceramente.. ma è possibile che la libreria stessa non preveda già una struttura abbastanza solida per questo tipo di flussi?

[luca9]

Riguarda il pagamento standard di Paypal.
Funziona ma se un utente cambia gli input hidden cambiano i dati di pagamento.
Ecco perchè lo script.

Visto che è HTML / PHP pensavo si potesse creare uno script con un controllo.

[luca9]

Ho provato con gli header php ma paypal non prende le variabili del form.
Mi reindirizza nella homepage anziche che nella sezioni pagamenti.

Come si può fare?