� inseguro usar $_GET?

Question

Pessoal, no caso dos formul�rios, � ruim usar o method get?Eu vejo sempre o pessoal falando para usar o method post.Porque isso? Tem alguma vulnerabilidade muito grande no GET?...

Tiago Cannute Dias · Accepted Answer

Olha, acredito que fazendo o tratamento do par�metro que voc� recebe, voc� refor�a sua seguran�a....

Larissa Aguiar · Answer

Rs, como programa��o n�o � minha �rea principal eu fico um pouco boiando com algumas coisas...Tiago, nesse caso isso seria esse SQL Injection que todo mundo fala?...

Fernando Henrique · Answer

Larissa , minha opini�o.Eu acho melhor utilizar sempre o $_POST, por ficar mais escondido.Mas h� situa��es que o uso do $_GET � vi�vel, como por exemplo, mostrar na url qual em p�gina de um determinado artigo, por exemplo,  o usu�rio est�.O que importa nesses casos � fazer o tratamento necess�rio para tais par�metros, de modo que a seguran�a n�o venha a ser comprometida.No caso de voc� usar, voc� deve estar atenta a isso.Espero ter ajudado....

Frank Rocha · Answer

Com certeza, o $_GET fica armazenado na URL, por mais que voc� trate os par�metros sempre ser� mais seguro usar o $_POST....

Larissa Aguiar · Answer

Hum gente, valeu pela dica.Vou evitar o uso do $_GET ent�o....

Diego Silva · Answer

Ol� Larissa, tudo bem?S� para complementar, eu aconselharia voc� usar o $_POST tamb�m. N�o � que voc� n�o possa usar o $_GET. At� porque existem casos  que voc� pode fazer um bom uso do par�metro na url, como j� foi citado pelo colega Fernando, numa situa��o de pagina��o, ou at� mesmo numa situa��o em que precisa se definir uma categoria na url, enfim, o $_GET cai muito bem em alguns casos.No caso, se eu pudesse optar por um dos dois, optaria pelo $_POST. Mas independentemente do que voc� vier a usar, voc� deve fazer o tratamento de seguran�a. De nada adianta usar $_POST se voc� n�o tratar o par�metro.S� n�o esquece isso, tratamento de seguran�a � muito importante, ainda mais nos dias de hoje :)Espero ter ajudado....

Rafael Cunha · Answer

O get � o padr�o quando � omitido o method no form. acho que n�o deve abrir m�o do get, ele e o post s�o m�todos de passagem de par�metro entre url�s ou consumo da pr�pria url, cada um com suas vantagens e desvantagens. na hora do desenvolvimento se julga o melhor. Est�tica da url, Volume para passar, l�gica,...
um exemplo que foi citado � de passar valor via link � uma section, um iframe,...

O tratamento deve ser feito sempre para ambos por quest�o de seguran�a e rota para erro.

�tima observa��o!

Larissa, eu n�o tenho nada contra o uso do $_GET.

Eu no caso tenho fun��es que fazem tratamento tanto de vari�veis GET e POST.

Concordo com todos os colegas assim que disseram que o tratamento de seguran�a deve ser feito :)

Robson Cavalcante · Answer

�tima observa��o!Larissa, eu n�o tenho nada contra o uso do $_GET.Eu no caso tenho fun��es que fazem tratamento tanto de vari�veis GET e POST.Concordo com todos os colegas assim que disseram que o tratamento de seguran�a deve ser feito :)...

Larissa Aguiar · Answer

Obrigada pela aten��o Robson! :)...

Felipe Paz · Answer

Apenas complementando o que o pessoal j� disse. Depende de qual opera��o voc� deseja fazer ou retornar no/do servidor. Se for um formul�rio de cadastro de uma loja, por exemplo. L� ter�o campos como senha, cart�o de cr�dito e etc. N�o seria l�gico passar tudo isso via GET (url), at� porque estes dados ficariam armazenados no cache do navegador e qualquer um teria acesso ao teu cadastro j� que senha, usu�rio e tudo mais estaria salvo l�. Ent�o, neste caso, deve-se ser passado via post, onde os dados s�o enviados "por debaixo do tapete". Agora, eu clico no link de uma not�cia e quero ver esta not�cia, a� sim utilizo o m�todo get, j� que esta informa��o est� passada via url e eu, futuramente, pretendo acessar essa not�cia novamente. Ent�o, basta eu digitar www.meusite.com.br/minhanoticia.
Ent�o, tudo vai depender da circunst�ncia mas em vias de regra, post para formul�rios, get para urls que n�o necessitam que os dados sejam omitidos.

Calebe Menezes · Answer

Concordo com as opini�es dos colegas acima!...

Iago Gomes · Answer

Apenas sintetizando as informa��es acima, Larissa: caso seu form tenha informa��es confidenciais/sigilosas � recomend�vel utilizar o POST e n�o esque�a de tomar as medidas de seguran�a contra as sql injection. Por�m hj em dia ouvimos muito falar em urls amig�veis, e o GET ajuda muito nesses casos, tamb�m em situa��es onde temos uma lista de registros e ao clicar num deles seu id � enviado na url....

Eduardo Chaves · Answer

Concordo. O Envio por POST deve ficar para conte�do que requer um n�vel de seguran�a maior como dados pessoais, logins e etc.

O GET pode ser utilizado por exemplo para transferencia de dados menos sens�veis, como uma url para redirecionamento por exemplo.

um abra�o.