metodo de seguridad para ingreso a web (funcionando, intencion de mejorar y optimizar

BLADDE · #1 (**permalink**) 24/08/2013, 08:30

saludos amigos, desde hace un tiempo de leer cosas para alla y para aca estoy usando 2 tecnicas para tratar de garantizar que el acceso a mi web sea algo seguro les muestro con la intencion de que me orienten si esta mal, si lo que creo que ocurre no es asi y como poder mejorar y optimizar dicha tecnica.

Código PHP:

  <?php
session_start(); 
if (isset($_SESSION["s_user_username"])) {// garantizo que inicio sesion
$refer = strtolower( $_SERVER['HTTP_REFERER'] ); // obtengo de donde viene la solicitud
if(substr_count($refer, 'www.miserver.com')==1){ // esto permite el acceso solo cuando se hace click o direcciona desde dentro del mismo servidor, por ejemplo si entre y abrio y luego me situo en la barra de direcciones y le doy enter no me deja entrar cosa que mis usuarios pueden soportar....
?>
aqui adentro va el cuerpo del archivo en cuestion si todo va bien es que lo mostrara sino ira hacia los else.



<?php }else{// este cuando no tiene session
echo ("<script language='javascript'>                                                  
           alert('Esta pagina es privada, no tiene los permisos necesarios')
              var pagina='index.php'
              location.href=pagina</script>");

} }else{// cuando accede de forma irregular
echo ("<script language='javascript'>                                                  
           alert('Esta pagina es privada, no tiene los permisos necesarios')
              var pagina='index.php'
              location.href=pagina</script>");

}

bien eso es lo que tengo ahora como lo mejoramos? que le podemos agregar? que me recomiendan? y si hace lo que creo que hace? hasta el momento me ha funcionado

OPPS esto creo que deberia estar en PHP disculpen si algun admin lo puede trasladar.

bathorz · #2 (**permalink**) 26/08/2013, 11:29

Creo que es mejor no mostrar mensajes de tipo PROHIBIDO, hace que sigan intentándolo.

* Agregar un archivo index.php en cada carpeta con redirección al raiz (sin dar aviso).

Código PHP:

Ver original<?php
header("Location: ../");
exit;
?>

* Al inicio de las páginas, ya tienes, pero ponlo también con php.

Código PHP:

Ver originalif($_SESSION['Autenticado'] !== 1 ) {
    header("Location: ./index.php");
}

* Agregar algo para los campos de formulario, si no tienes.

Código PHP:

Ver originalfunction limpiar() {
   foreach ($_POST as $indice=>$valor) {
      $_POST[$indice]=mysql_real_escape_string(stripslashes(trim($valor)));
   }
}

BLADDE · #3 (**permalink**) 26/08/2013, 11:48

esa ultima que dices me valida lo que traigo de la BD???
yo tengo esto para proteger lo que voy a procesar

Código PHP:

  array_walk($_POST, 'limpiarCadena');
array_walk($_GET, 'limpiarCadena');
function limpiarCadena($valor)
{
    $valor = str_ireplace("SELECT","",$valor);
    $valor = str_ireplace("COPY","",$valor);
    $valor = str_ireplace("DELETE","",$valor);
    $valor = str_ireplace("DROP","",$valor);
    $valor = str_ireplace("DUMP","",$valor);
    $valor = str_ireplace(" OR ","",$valor);
    $valor = str_ireplace("%","",$valor);
    $valor = str_ireplace("LIKE","",$valor);
    $valor = str_ireplace("--","",$valor);
    $valor = str_ireplace("^","",$valor);
    $valor = str_ireplace("[","",$valor);
    $valor = str_ireplace("]","",$valor);
    $valor = str_ireplace("\\","",$valor);
    $valor = str_ireplace("=","",$valor);
    $valor = str_ireplace("&","",$valor);
    return $valor;
}

me dices no dar aviso si no mandarlos al index?

una pregunta ese $_SESSION['Autenticado'] !== 1 el operador "!==" que hace?

bathorz · #4 (**permalink**) 27/08/2013, 08:41

La misión de limpiar() no es validar, sino evitar en lo posible ataques de inyección sql a través del formulario.

Ejemplo:

Código PHP:

Ver original// En un select tipo
$sql = "SELECT * FROM users WHERE user='".$_POST['user']."' AND password='".$_POST ['password']."';";
 
// Si:
$_POST['user'] = ' usuario';
$_POST['password'] = "' OR ''='";
 
// Conexión BBDD
conectadb('test');
 
// Sin protección el pass equivale a: nada es igual a nada, da acceso al sistema:
$sql = "SELECT * FROM users WHERE user='usuario' AND password='' OR ''='';";
 
// Con función
limpiar();
$sql = "SELECT * FROM users WHERE user='usuario' AND password='\' OR \'\'=\'';";
// Rdo: password=\"\' OR \'\'=\'\"

// !!Tiene que haber una conexión con la BBDD antes de usar mysql_real_escape_string() o limpia totalmente:

Código PHP:

Ver original$sql = "SELECT * FROM users WHERE user='' AND password='';";

!== 1 Significa que no es igual a 1, no es true, en fin que no está logeado.

El usuario envía los datos. En la función que lo valida, si todo esa bien, hay una línea:

Código PHP:

Ver original$_SESSION['Autenticado'] = 1; // lo mismo true u otra cosa.

Ya tienes uno:

Código PHP:

Ver originalif (isset($_SESSION["s_user_username"])) {// garantizo que inicio sesion

BLADDE · #5 (**permalink**) 27/08/2013, 09:45

saludos finalmente una plantilla segura de acceso a mi sitio seria:

Código PHP:

 
 <?php 
 
function limpiar() //funcion que limpia de sentencias sql las variables que usare para comparar  
{ 
       foreach ($_POST as $indice=>$valor)  
    { 
          $_POST[$indice]=mysql_real_escape_string(stripslashes(trim($valor))); 
           } 
} 
session_start();  
if (isset($_SESSION["s_user_username"])) {// garantizo que inicio sesion (este if no deberia ir en login por q en ese archvo es que iniciara session pero debe ir en los demas archivos 
$refer = strtolower( $_SERVER['HTTP_REFERER'] ); // obtengo de donde viene la solicitud 
if(substr_count($refer, 'www.miserver.com')==1){ // esto permite el acceso solo cuando se hace click o direcciona desde dentro del mismo servidor, por ejemplo si entre y abrio y luego me situo en la barra de direcciones y le doy enter no me deja entrar cosa que mis usuarios pueden soportar.... 
// si pasa todo los parametros de seguridad verifico el logueo (usare de ejemplo un login.php 
include_once 'conexion.php'; 
autenticacion(limpiar($_POST['usuario']),limpiar($_POST['clave']));// garantizo que lo que paso por post este limpio 
 
?> 
aqui adentro va el cuerpo del archivo en cuestion si todo va bien es que lo mostrara sino ira hacia los else. 
 
 
 
<?php }else{// este cuando no tiene session 
 header("Location: ../login.php"); 
 
} }else{// cuando accede de forma irregular 
 header("Location: ../index.php"); 
 
} ?>

la funcion que coloque limpiarcadena() no haria falta?
algo mas que se pueda agregar?
1)verifico que halla iniciado sesion (cuando no es login.php)
2)verifico que la solicitud sea desde mi servidor
3)me cuido del sqlinjection
algo mas????????

bathorz · #6 (**permalink**) 30/08/2013, 10:07

Leer sobre el uso de .httaccess y seguridad, hay muchos ejemplos por ahí.
Hasta donde sé la seguridad no existe en informática, eso me han dicho.