Tu aplicación contra la gestión de variables inesperadas

 En entradas anteriores hice alusión al modo en el que un usuario ilegítimo de tu aplicación web puede hacer tentativas muy básicas de hacking del estilo que sigue:

http://servidor/aplicacion?administrador=TRUE

  Seguro que esto te hace reflexionar sobre la importancia de no admitir y gestionar variables inesperadas, así que te muestro a continuación un pequeño código para excluir automáticamente valores inapropiados de tus scripts, pudiendo así asumir con certeza que el entorno global está saneado, incluso aunque el atacante remplace el código de tu web para enviar valores no esperados. La idea consiste en listar las variables esperadas por nuestro código en un array, y posteriormente usarlo para chequear las variables recibidas. ¡Es como una lista de invitados a una sala de fiestas pija!. Aunque este ejemplo está en PHP, como casi siempre, te recuerdo que la idea es fácilmente transportable a cualquier lenguaje de programación.

$grupo_variables_esperadas = array ("variable_1", "variable_2", "variable_3");
foreach ($grupo_variables_esperadas as $variable)
{
  if (!empty($_POST[$variable]))
  {
    ${variable} = $_POST[$variable];
  }
  else
  { 
    ${variable} = NULL;
  }
}