un pequeño secretito...

Tukzone · #1 (**permalink**) 12/05/2003, 14:53

Soy adoptado!! No mentira :)

Bueno, voy a compartir una pequeña y traumatica experiencia para que no le pase a ninguno de ustedes.

Todos sabemos que cuando un cliente nos pide algo lo hacemos, lo probamos, funciona y por arte de magia cuando lo mostramos deja de funcionar.

Bueno, ese fue mi caso con un sitio que desarrolle. Como Cluster muy bien sabe, utilizar $HTTP_REFERER no es lo mas aconsejable que digamos, pero no porque sea inseguro ni mucho menos, eso no importa, lo que realmente importa es que algunos firewalls lo bloquean! Como por ejemplo el Norton. O sea que, si desarrollas un sitio y por esas casuales tenes un login que chequea de donde viene el visitante ($HTTP_REFERER) y lo compara con el nombre del servidor ($SERVER_NAME), vas muerto, porque esa informacion nunca va a coincidir, y si no coincide el usuario nunca va a poder logearse.

Esto es muy importante si desarrollan un sitio para una empresa. Lo del firewall es algo que nunca se me ocurrio preguntar, pregunte todo menos eso, que dicho sea de paso no lo sabia. Ahora por suerte lo sabemos todos. Este es un problema muy atipico, pero les aseguro que hay que tenerlo muy en cuenta.

Un saludo
tk

Cluster · #2 (**permalink**) 12/05/2003, 20:33

Pues si, tienes toda la razón Tukzone .. No sólo que no coinciden las variables de servidor HTTP_REFERER y el SERVER_NAME, sinó que algunos proxys/firewalls ni te entregan el HTTP_REFERER ..

(así lo estoy sufriendo yo en mi scripcito "Autentificator" .. pues una parte de la validación la baso en ese dato .. sólo como "optimización" .. para náda es "crítico" e incluso me estoy planteando elminar dicha "comprobación" usando el HTTP_REFERER por la cantidad de problemas que trae ..)

Existe una variable de servidor con la cual podrías obtener la "IP" real .. Pero, depende del proxy/firewall .. podrás obtenera o no. Me refiero a:

HTTP_X_FORWARDED_FOR y HTTP_CLIENT_IP

Código PHP:

  function getip() { 
if (isset($_SERVER)) { 
if ( $_SERVER[HTTP_X_FORWARDED_FOR] ) { 
$realip = $_SERVER["HTTP_X_FORWARDED_FOR"]; 
} elseif ( $_SERVER["HTTP_CLIENT_IP"] ) { 
$realip = $_SERVER["HTTP_CLIENT_IP"]; 
} else { 
$realip = $_SERVER["REMOTE_ADDR"]; 
} 
 
} else { 
if ( getenv( 'HTTP_X_FORWARDED_FOR' ) ) { 
$realip = getenv( 'HTTP_X_FORWARDED_FOR' ); 
} elseif ( getenv( 'HTTP_CLIENT_IP' ) ) { 
$realip = getenv( 'HTTP_CLIENT_IP' ); 
} else { 
$realip = getenv( 'REMOTE_ADDR' ); 
} 
} 
return $realip; 
} 
 
// ejemplo 
echo getip();

Todo esto sería "empaparse" el protocolo HTTP ..pero como que no estoy para esos trotes yo xDD..

Pruebalo y nos comentas ..

Un saludo,

Tukzone · #3 (**permalink**) 13/05/2003, 10:12

Gracias por el dato Cluster, ya erradique el HTTP_REFERER de todos mis codigos... para siempre! O mejor dicho, ahora lo valido para ver que se trae entre manos :)

un saludo!