Filtrar $_SERVER['HTTP_REFERER']?

luciano_che · #1 (**permalink**) 07/11/2011, 00:19

Hola, tengo una pregunta bastante simple de explicar, despues de que los usuarios se loguean en mi sitio me gustaría redireccionarlos al mismo lugar donde estaban, entonces hago algo de este estilo:

Código PHP:

  $url = $_SERVER['HTTP_REFERER']; 
// FILTRAR $url 
header("Location: ".$url);

La pregunta es qué medidas de filtrado debo tomar en $url para evitar que alguien con tiempo libre pueda hacer alguna maldad.

Saludos y gracias!

Arkaitz · #2 (**permalink**) 07/11/2011, 02:00

No creo que sea buena ídea utilizar HTTP_REFERER ya que muchos navegadores no envian el referer además de no ser muy seguro. Deberías utilizar sesiones para identificar desde donde han llegado a la página.

luciano_che · #3 (**permalink**) 07/11/2011, 12:14

El problema es que tengo subdominios y se me complica usar sesiones (ya se como hacerlo pero no me funcionó muy bien, si tienen navegadores que no envian HTTP_REFERER, mala suerte para ellos, los redirijo a la página principal y tendrán que volver ellos mismos a donde estaban, y en cuanto a que no es seguro, justamente, quisiera saber que tipo de problemas puedo tener y como filtrar para que sea algo seguro.

Qué tipo de codigo pueden inyectar en header(Location:...) y generar algun problema? Pregunto para poder filtrarlo.

Saludos!

GatorV · #4 (**permalink**) 07/11/2011, 12:24

Yo solo usaría urlencode() ya que el código que te puedan pasar por header, al final es el mismo que si escribieran la URL directamente en el navegador.

Para usar las sesiones en subdominios, basta con que uses session_set_cookie_params, y en el parámetro de domain, pases un ".dominio.com" para que la sesión se reconozca en todos los subdominios.

Saludos.

luciano_che · #5 (**permalink**) 07/11/2011, 13:25

urlencode() sirve para pasar cadenas con caracteres extraños como parámetros en url's, creo que no es lo que necesito, igualmente por lo que decis no hay mucho peligro en que controlen valores adentro de header()?

GatorV · #6 (**permalink**) 07/11/2011, 13:45

La ventaja es que así a la hora de hacer el redirect la URL queda limpia como debería de estar:

Código PHP:

Ver originalheader ('Location: ' . urlencode($_SERVER['HTTP_REFERRER']);

Esa es la idea que tu URL quede limpia y así cualquier carácter que no sea valido se reemplazara correctamente.

Saludos.

luciano_che · #7 (**permalink**) 07/11/2011, 14:41

Si por ejemplo $_SERVER['HTTP_REFERRER'] contiene 'http://google.com/', la sentencia quedaría:

Código PHP:

  header ('Location: http%3A%2F%2Fgoogle.com%2F');

Eso no hace una redirección correcta

GatorV · #8 (**permalink**) 07/11/2011, 16:06

Cierto, en ese caso no puedes hacer nada más que dejar el parámetro como viene, o intentar filtrarlo con parse_url para limpiarlo lo más posible.

Saludos.