Foros del Web » Programando para Internet » PHP »

Duda existencial

Estas en el tema de Duda existencial en el foro de PHP en Foros del Web. Bueno resulta que me tenía un poco preocupado algo acerca del include. Resulta que pensé que al incluir un archivo con código php en forma ...
  #1 (permalink)  
Antiguo 02/01/2003, 06:52
Avatar de Jano.cl  
Fecha de Ingreso: diciembre-2001
Ubicación: Chile
Mensajes: 258
Antigüedad: 22 años, 3 meses
Puntos: 0
Duda existencial

Bueno resulta que me tenía un poco preocupado algo acerca del include. Resulta que pensé que al incluir un archivo con código php en forma de url, solo me devolvería html(si es que este existiese) y obviamente y efectivamente es así (todos lo sabemos), pero al incluir un archivo php usando la ruta completa(corriendolo en el mismo servidor en que se encuentra el archivo a incluir) tendría acceso a todo lo que contiene este archivo, o sea, TODO incluyendo el código php, variables etc.

Bueno me propuse a hacer un experimento, lo hice en host.sk, hice un archivo con un código simple, incluyendo el archivo de configuración de un foro phpbb, que se encontraba en otro cuenta de host.sk(no mía), bueno, subí el archivo, lo ejecute y me mando un error de safe mode, todo bien(me dije a mi mismo[lo único que quería es que me saliera un error, para quedarme tranquilo]). Ya, después me acorde que tenía una cuenta en otro webhosting en el cual php esta corriendo con safe mode off , entonces hice el mismo experimento, esta vez use como "conejillos de india" a otro usuario que tenía un foro "invisionboard" en su sitio, entonces subí el archivo con el código correspondiente:

Código PHP:
<?php
include("/home/usuarioblabla/public_html/forums/conf_global.php");

echo 
$INFO['sql_pass'];
echo 
"<br>";
echo 
$INFO['sql_user'];
echo 
"<br>";
echo 
$INFO['sql_database'];
echo 
"<br>";

?>
¿Qué pasó? Me devolvió los valores de las variables . Para comprobar esto, me metí al phpmyadmin de este webhosting usando los supuestos datos de la cuenta de mysql de este usuario y ACCEDÍ a su BBDD, obviamente salí de inmediato de ahí, por ningún motivo tenía la intención de hacer nada que no fuera un experimento, el cual, repito, quería con todas las ganas que no me resultara.

Ahora, necesito la opinión de las masters, porque me siento un poco comfundido, se me cayó un poco del pedestal nuestro querido PHP, o sea ¿ la solución es que siempre PHP corra con SAFE MODE = ON para evitar estas fallitas de seguridad?

Ah y ¿uds me recomiendan que de aviso a los administradores de este webhosting del potencial(bueno,concreto) problema de seguridad?

  #2 (permalink)  
Antiguo 02/01/2003, 09:14
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 22 años, 2 meses
Puntos: 129
Cita:
Ahora, necesito la opinión de las masters, porque me siento un poco comfundido, se me cayó un poco del pedestal nuestro querido PHP, o sea ¿ la solución es que siempre PHP corra con SAFE MODE = ON para evitar estas fallitas de seguridad?
Pues .. yo estaria tranquilo con lo que respecta a PHP en si como lenguaje de programación .. Como has comprobado PHP dispone de muchos medios de seguridad para evitar eso mismo que has hecho.

Uno de ellos suele ser usar PHP como CGI .. con eso ya se filtran un buen número de acciones de ese tipo .. Otro suele ser limitar funciones como system() y similares ... o el mismisimo safe mode ...

El problema de todo esto no es de PHP .. mas bien es de los Administradores de esos servicios de Hosting que no saben configurar PHP de forma segura "por desconocimiento" .. Date cuenta que aún quedan muchossss servicios de Hosting que ofre PHP como "rareza" (lo digo así porque les preguntas algo sobre el PHP q están corriendo y no saben ni q versión usan )

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:03.