2 grandes preguntas..

Hola.... a grano:

1º Cuán alta es la seguridad de los datos que se guardan en variables de sesion?. Si se guardan variables de sesion de una web... se podrían llamar en otro sitio? Es necesario encriptarlas con un codigo personal??

2º Cómo detecto si el navegador tiene script activado mediante php para poder hacer una u otra cosa al respecto? GRAX!!

Holas,

1: Eso de las sesiones es para todos los lenguajes de servidor el mismo caso, si quieres comparar con otros, en todos los casos depende de como tu los manejes tanto en los nombres de las sesiones como en los valores; puedes encriptarlos con md5 tanto los nombres de las sessiones como los valores respectivos.

2: Para detectar al cliente si tiene activado el script solo podras saber en el cliente y ademas puedes usar en el mismo cliente las etiquetas de java como <noscript> [FONT=verdana,geneva,lucida,'lucida grande',arial,helvetica,sans-serif]para ver si tiene activado o no el script.


Saludos
Gildus
[/FONT]

pero que peligro puede representar que alguien vea el valor de una de mis variables de sesion (mientras no sea un password o user)???

si alguien averigua que la foto que esta clickando para ver los detalles de una casa, por ejemplo, es la ID 25, que puede pasar, si no tiene acceso a mi BD??

no creo que tampoco sea un peligro, no se es mi opinion, proteger bien el nombres de los user y passwords con md5, como dices y la mayoria de la variables, tampoco creo que sean peligrosas si las ven.

Un saludo

1-
A) Tanto como para, a modo de ejemplo, solo guardar un username (información común) y no un password (información privada).
B) No llamarla directamente y de manera tradicional, pero no es seguro, se puede corromper, por eso te doy el ejemplo del punto 1-A.

2- Que es "script activado"?, javascript? De ser así, en este caso, php no puede hacer nada, una cosa es el cliente (JS) y otra el servidor (PHP). Como dice gildus, podés usar noscript, pero habría que ver si aplica a tu necesidad.

Ejemplo:

Tengo declarada la variable de inicio $_SESSION["usernombre"]... todo ok...

Ahora... se puede hacer un select a la base y poder sacar el pass para ese cliente??? como dices se necesita coneccion directa a la base de datos... es decir que sin coneccion de nada sirve ver las variables verdad?... si es asi... bien por eso...

Con respecto a la otra parte... Creo que jamas podremos saber si el user tiene js activado lamentablemente es algo con lo que no podremos lidiar, espero que el uso de navegadores que no usen js o q tenerlo desactivado no vaya a causar problemas, supongo q ahi cada uno tendra q ver las necesidades de seguridad.

Me imagino que tambien dependera de la seguridad de tu server.

como ssabes no se puede ver el codigo php viendo el codigo fuente de la pagina, la unica manera de verlo, seria hackear tu servidor, que si es de pago, tendra su seguridad, por lo que no creo que sea facil que puedan ver tu codigo php y ver tu contraseña de la BD.

Y tambien, la unica manera de introducir codigo malicioso seria a traves de un campo de un formulario, y usando una funcion como esta a las cadenas que pasan por los campoos del formulario, es suficiente, para que no puedan escribir codigo malicioso y conseguir hacerte un SQL injection en lka BD

Claro, pero no consultarías con el username a la db, si lo harías con el id. Por ejemplo y tendrías este id guardado en otra session, la cual, pasarías al menos por un intval() antes de usarla contra mysql para evitar problemas. Si queres que el id no este ahí, a la "vista", podes hashearlo.

Saludos

Hola.

Janoru una pregunta...

Que hace exactamente tu funcion?..

y... disculpa mi ignorancia.