Foros del Web » Programando para Internet » PHP »

Recomendación de seguridad en aplicación PHP

 Estas en el tema de Recomendación de seguridad en aplicación PHP en el foro de PHP en Foros del Web. Hola a todos, tengo una duda en principio simple. Tengo un programa de gestión de una biblioteca muy sencillo. Existen dos roles, el del bibliotecario ...
  #1 (permalink)  
Antiguo 04/05/2010, 11:59
 
Fecha de Ingreso: enero-2010
Mensajes: 69
Antigüedad: 14 años, 2 meses
Puntos: 0
Recomendación de seguridad en aplicación PHP
Hola a todos,

tengo una duda en principio simple. Tengo un programa de gestión de una biblioteca muy sencillo. Existen dos roles, el del bibliotecario y el del usuario. Cuando un usuario hace click en el enlace correspondiente le aparecen sus préstamos. En cambio, el bibliotecario tiene acceso a los préstamos de todos los usuarios. Tal y como lo tengo, cuando el bibliotecario desea consultar los préstamos de un usuario, escribe las iniciales del usuario y se carga el panel de préstamos.

El problema reside en que, al realizarse la petición por el método GET, en la url aparece

Código PHP:
biblioteca.php?usuario=xxx 
donde xxx es el identificador del usuario. Así pues, cualquiera que abra el navegador y se pueda imaginar que el campo se llama "usuario", puede escribirlo en la barra de navegación y acceder al panel de otro usuario.

¿Qué me recomendáis hacer? ¿Cambiar de GET a POST? ¿Introducir variables de sesión? ¿Existe algún otro método?

Muchísimas gracias!!
  #2 (permalink)  
Antiguo 04/05/2010, 12:06
Colaborador
  
Fecha de Ingreso: octubre-2009
Ubicación: Tokyo - Japan !
Mensajes: 3.867
Antigüedad: 14 años, 6 meses
Puntos: 334
Respuesta: Recomendación de seguridad en aplicación PHP
get o post.. el metodo esta mal planteado de todas formas
debes tener una capa de seguridad en donde preguntes si el usuario es usuario normal o tiene privilegios de administrador
para eso se usan variables de session

saludos!
__________________
More about me...
~ @rhyudek1
~ Github
  #3 (permalink)  
Antiguo 04/05/2010, 12:18
 
Fecha de Ingreso: enero-2010
Mensajes: 69
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: Recomendación de seguridad en aplicación PHP
Gracias Hidek, entendido.

Supongo entonces, que la cosa debería funcionar así: cuando un usuario hace login en la aplicación, guardo su identificador en una variable de sesión, y a la hora de acceder al panel de otro usuario, compruebo que ese identificador coincida con el del bibliotecario. Si ha introducido bien su nombre y contraseña, prosigue con la aplicación; en caso contrario, se le informa de que no tiene privilegios para acceder a la página.

De esta forma, si trata de entrar directamente por la url, le llevará directamente a la página de error.

¿Me he enterado más o menos? ;)

Muchas gracias
  #4 (permalink)  
Antiguo 04/05/2010, 12:22
Colaborador
  
Fecha de Ingreso: octubre-2009
Ubicación: Tokyo - Japan !
Mensajes: 3.867
Antigüedad: 14 años, 6 meses
Puntos: 334
Respuesta: Recomendación de seguridad en aplicación PHP
claro es eso.. aunque si usas variables de session puedes guardar directamente el grado que tendria la persona, ya que las sessiones se almacenan en el servidor y no en el cliente...
Código PHP: 
Ver original
  1. $_SESSION["permisos"] = "Administrador";
  2. if($_SESSION["permisos"] == "Administrador"){
  3.  // mostrar
  4. }else{
  5.  // permiso denegado
  6. }

saludos!
__________________
More about me...
~ @rhyudek1
~ Github
  #5 (permalink)  
Antiguo 04/05/2010, 12:36
 
Fecha de Ingreso: enero-2010
Mensajes: 69
Antigüedad: 14 años, 2 meses
Puntos: 0
Respuesta: Recomendación de seguridad en aplicación PHP
Genial, eso haré entonces.

Muchísimas gracias!! (en cuanto tenga oportunidad te doy karma ;))

Etiquetas: seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 18:10.