Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR']

New_Race · #1 (**permalink**) 10/02/2011, 08:45

Bueno amigos necesito trabajar con estas dos variables y tengo una pregunta sobre seguridad, q me inquieta mucho..

Mi código es el siguiente:

$IP = ($_SERVER['HTTP_X_FORWARDED_FOR'])
? $_SERVER['HTTP_X_FORWARDED_FOR']
: $_SERVER['REMOTE_ADDR'];
$db->query("UPDATE users SET ultimaaccion=unix_timestamp(), ultimaip='$IP' WHERE id='{$key}'");

Q toma la ip del usuario y la graba en la base de datos como referencia futura...

Bueno mi pregunta es : Estas variables pueden ser manipuladas para inyectar un código a la consulta? por ejemplo, para modificar la tabla users:

255.255.255', efectivo='1000', key='999

Esto puede resultar un problema grave de seguridad, he escuchado que se puede manipular con un addon de firefox pero necesito conocer la opinión de los expertos.

Toda respuesta es agradecida.

pateketrueke · #2 (**permalink**) 10/02/2011, 10:52

la super variable $_SERVER tal y como lo indica su nombre, es creada y populada por el mismo interprete a partir de información proporcionada por el servidor...

de modo que ningún usuario podría alterar dichos datos, lo cual impide a dichas variables sufrir parte de un ataque... (:

GatorV · #3 (**permalink**) 10/02/2011, 14:27

Tema movido desde Configuración PHP a PHP

A menos que alguien infectara el servidor web, con lo cual hay un mayor problema

New_Race · #4 (**permalink**) 24/02/2011, 20:38

efectivamente si averigue q hay un addons viejo de firefox que permite manipular esto parámetros y modificarlos para injeccion sql... terminando parcheado el codigo y tema resuelto xD