Estoy realizando una pagina web pero necesito hacer un codigo de confirmacion se me ocurre una idea pero no se si es la mas adecuada. www.pagina.cl/index.php?token=mfmei39332234fm bueno si el token seria el codigo de confirmacion pero estaria bulnerable a que me realizaran un sql injection aunque eso lo puede manejar solo dejando numeros en el token o sacando caracteres que son malisios. Y como lo podria hacer que dentro de un tiempo caduque este token.
Te respondiste solo la pregunta sobre el sql injection, debes sanitizar el token (al igual que TODAS las entradas que recibe tu script) y voila. Sobre la caducidad del token, registra en alguna parte la fecha de emisión del token, entonces cuando tu script reciba la confirmacion, haces la resta fecha_actual - fecha_guardada, si el resultado es mayor a un numero de tu elección significa que el token caducó. Saludos.
facil cuando tomas el token por get le haces una limpieza de caracteres especiales y le haces limpiado de palabras clave, es decir le quietas todas las comillas simple, doble, puntos, comas, punto y coma, update, select, drop etc de esta forma dejas el token sin que te puedan hacer un sql injection, ya que le quitas toda posibilidad de que el codigo incluya un drop o un update dentro de la variable, al igual que la posibilidad de que te ejecuten una sentencia adicional en la consulta
