Formularios más seguros con Zend_Form

25-03-2009 Luis Artola

De forma bastante sencilla, alguien podría atacar tu web intentando hacer un envio POST de un formulario tuyo infinitas veces. Afortunadamente existe una manera sencilla de prevenirlo. Se trata de que cuando alguien haga una petición GET sobre el formulario (para que éste se cargue), el sistema genere una clave aleatoria (token) que se añada como campo hidden al formulario y se guarde como variable de sesión. Al enviar un POST sobre el formulario, se comprobará si el token hidden es igual a lo guardado en sesión. Si es así, se considerará que se cargó primero el formulario antes de enviarlo, así que no se trata de un envío POST directo.

Por supuesto, esto no convierte en invulnerables los formularios. Existen otras muchas maneras de intentar atacarlos, pero si reduce las posibilidades de un ataque básico.

A continuación voy a extender el objeto Zend_Form del Zend Framework para incluir un par de métodos que ayudarán a la generación y validación del token.

<?php
 
class Zend_Form_Token extends Zend_form {
 
//generamos el token y lo guardamos en una variable de sesion.
protected function generateToken ($seed = 'cocotero'){
 
$token = md5($seed.mktime());
$globalSession = new Zend_Session_Namespace('global_data');
$globalSession->token = $token;
return $token;
 
}
 
//cuando recibamos un envío post, le pasaremos la variable input hidden del token a ésta función para validarlo.
protected function tokenCheck($tokenToCheck=''){
 
$globalSession = new Zend_Session_Namespace('global_data');
$returnValue = (!empty($tokenToCheck) and $tokenToCheck == $globalSession->token);
 
return $returnValue;
 
}
 
}// Zend_Form_Token
 
?>

Ahora sólo nos queda crear nuestros formularios y llamar a éstas funciones en el controller correspondiente, para poder controlar la respuesta…