Que es mas seguro?

jvier · #1 (**permalink**) 28/01/2015, 16:53

Buen día! tengo una consulta sobre seguridad en PHP..
Que es mas seguro en un archivo de configuración?

Usar constantes con: define("CONSTANTE","valor");? (que seria mas sencillo de utilizar en toda la aplicación).. lo que me hace dudar de esta opción es que es casi como una global, y no tengo claro porque las globales tienen mala fama.

O usar una variable tipo array: array("parametro" => "valor"); de esta manera abra que pasar la variable a todas las clases donde se tenga que implementar.

tomar en cuenta que en este archivo de configuración habrá passwords.

Gracias a todos por sus opiniones!

JoangelDLR · #2 (**permalink**) 28/01/2015, 16:57

Cita:

Iniciado por jvier

Buen día! tengo una consulta sobre seguridad en PHP..
Que es mas seguro en un archivo de configuración?

Usar constantes con: define("CONSTANTE","valor");? (que seria mas sencillo de utilizar en toda la aplicación).. lo que me hace dudar de esta opción es que es casi como una global, y no tengo claro porque las globales tienen mala fama.

O usar una variable tipo array: array("parametro" => "valor"); de esta manera abra que pasar la variable a todas las clases donde se tenga que implementar.

tomar en cuenta que en este archivo de configuración habrá passwords.

Gracias a todos por sus opiniones!

Buen dia! en mi opinion igual estarias configurando un array o una global que a la final se podrian tomar los datos igualmente, lo que tienes es que buscar la manera de restringir el acceso a ese archivo de configuracion, no se mucho de seguridad pero es mi opinion, a la final son datos que cambie la manera en como guardas o defines el dato no hace mucho igual a simple vista esta el valor de esa variable. Lo que debes es cuidar como la utilizas en el codigo.

pateketrueke · #3 (**permalink**) 28/01/2015, 17:01

Cita:

y no tengo claro porque las globales tienen mala fama.

Las variables globales tienen mala fama, porque básicamente puede cambiarse su valor de manera externa. Las constantes también son globales, pero son constantes, así que jamás cambiarán.

Sin embargo el problema es el mismo, las constantes pueden exponerse usando get_defined_constants() así que si alguien es capaz de ejecutar código en tu sitio podrá saber que hay ahí.

Ahora, el array es buena idea se se maneja de forma local, es decir, sin usar globales. Y mejor aún si puedes acceder a la configuración mediante algo así:

Código PHP:

Ver originalfunction config($key) {
  static $options = array(
    'key' => 'value'
  );
 
  return $options[$key];
}
 
echo config('key'); // value

Así las opciones permanecen ocultas dentro de la función y sólo devuelves un valor a la vez a quien lo necesite.

jvier · #4 (**permalink**) 28/01/2015, 17:13

Gracias a los dos por su pronta respuesta..

como comentas pateketrueke: las constantes pueden exponerse usando get_defined_constants() así que si alguien es capaz de ejecutar código en tu sitio podrá saber que hay ahí..

como es que serian capaces de ejecutar esa función? sera accediendo a los archivos?

porque como dice JoangelDLR, en el caso de acceder a los archivos, cualquier forma de configuración sera visible al momento de acceder al servidor.

como nota: Wordpress utiliza constantes con define() en su configuración.. porque lo usara Wordpress si no es lo mas seguro?? si hay millones de web que utilizan este CMS?

ademas pienso sacar el archivo de configuracion fuera del directorio publico (www) del servidor e incluyendolo mas o menos asi: ../../configuracion.php

y pateketrueke... me podrias explicar que funcion desempeña la definicion static en el array dentro de la funcion que compartiste?