Tema: La página PHP + segura del mundo!.
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 26/01/2004, 07:39
CHAMO01
 
Fecha de Ingreso: enero-2004
Mensajes: 89
Antigüedad: 20 años, 3 meses
Puntos: 0
Mensaje La página PHP + segura del mundo!.
No coloco este POST en El "Foro de Seguridad", por que se trata de PHP

Feliz semana, entre varios webmasters desarrollaron una aplicacion que envia mail, lo cual (al ser varios los programadores), dio como resultado un desarrollo muy versatil.
(Lamentablemente no pude volver ha hallar el post para citarlo.)

Yo no se nada de seguridad.
Si mi sitio web fuera hackeado, solo me daria cuenta despues de que saliera en la pagina principal un texto como "Aqui estuve yo, el hacker".

Creo que un hacker se ocuparia de hackear un sitio que valiera la pena, no sitios "inutiles"; pero aun asi, esta es la hora que yo no se si me han hackeado, ya que un hacker inteligente no ira a dañar sino a "robar" info de nuestro sitio, de nuestras BD, etc... (Es lo que creo yo).

//////////////////////////////////////////////////////////////

Aqui, en FDW he aprendido un poco de Bases de datos + PHP.

Lo que he aprendido quiero utilizarlo para hacer cosas interesantes en mi web, pero con bases de datos + PHP.

Asi que yo pienso:

"Uy!, le voy a permitir a cualesquier persona que ingrese a mis Bases de datos, que las lea, que las modifique, que borre, edite, etc...".

Y... si una de esas personas es "un Webmaster travieso"?

Me friego, por que (repito), no se como hacer sitios seguros.

Entonces como vi que entre varios Webmasters hicieron lo de la aplicacion mail(), yo les pido el favor a ustedes, los participantes de FOROS DEL WEB que entre varios creen una pagina PHP MUY SEGURA, la cual lee cosas de las BD.

Coloco aqui la forma en que actualmente lo hago, lo cual se que no es REAL SEGURIDAD:

Código PHP:
<?php

    //Primero creamos el nombre de la session:
    session_name("paginasegura");
    //(Sinceramente no se de que sirve hacerlo, si por defecto existe: PHPSESSID).

    //Segundo la solicitamos
    session_start();

    //Para evitar avisos en caso de que trabajemos con [ error_reporting=E_ALL ]
    //Iniciamos las variables $clave, $intento y $accion como cadenas vacias:
    if(!isset($clave)){$clave '';}
    if(!isset($accion)){$accion '';}
    if(!isset($intento)){$intento '';}

    //Salimos de la session si es lo que se desea
    //Y destruimos todos los datos almacenados en la session:
    if("salir" === "$accion")
    {
    session_destroy();
    }

    //Si la persona se equivoca + de 3 veces, lo + probable es que sea un hacker
    //Entonces dejamos la cookie en la PC de la persona, y la sacamos de nuestro sitio web
    if($intento 3)
    {
    header("Location:
 [url]http://127.0.0.1[/url]");
    }
    //Comprovamos la clave secreta:
    if("miclavesecreta" === $clave)
    {
    session_unregister("intento");
    session_register("clave");
    echo "Bienvenido";
    //Se continuan todas las acciones
    //Como por ejemplo:
    echo "<A HREF='$PHP_SELF?accion=salir'>Salir</A>";
    }

    //Si la clave es diferente:
    else
    {
    $intento++;
    session_register("intento");
    echo "$intento <CENTER><FORM ACTION='$PHP_SELF'>Ingresa la clave:<BR>
<INPUT TYPE='PASSWORD' NAME='clave'> <INPUT TYPE=SUBMIT VALUE='Ingresar'>
</FORM></CENTER></BODY></HTML>";
    exit;
    }

?>
Y listo maestros, + que esto no se nada de nada +.

MUCHAS GRACIAS POR LA YUDA QUE NOS VRINDEN A LOS NEOFITOS.

De veras que es muy importante.
Última edición por CHAMO01; 26/01/2004 a las 09:43