Foros del Web » Programando para Internet » PHP »

Seguridad con include()?

Estas en el tema de Seguridad con include()? en el foro de PHP en Foros del Web. Este es mi primer mensaje, ando buscando información sobre seguridad con la funcion "include()" de php. Tengo varias webs programadas con este sistema: index.php?pag=noticias index.php?pag=admin ...
  #1 (permalink)  
Antiguo 04/01/2006, 10:47
Avatar de CiDHemS  
Fecha de Ingreso: septiembre-2004
Ubicación: Puno - Perú
Mensajes: 38
Antigüedad: 13 años, 2 meses
Puntos: 0
Seguridad con include()?

Este es mi primer mensaje, ando buscando información sobre seguridad con la funcion "include()" de php.

Tengo varias webs programadas con este sistema:

index.php?pag=noticias
index.php?pag=admin
index.php?pag=foros

Por ahi lei que es un grave error ya que jalo las paginas asi:

Código:
include("paginas/web/".$pag.".php");
Si alguien podria ayudarme a encontrar donde este el error en la seguridad?
  #2 (permalink)  
Antiguo 04/01/2006, 11:01
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
El error no es tanto si "fuerzas" la extensión .php como lo haces .. peor sería hacer:


index.php?pag=noticias.php

y dejar "libre" el include tipo:

include("paginas/web/".$pag);

o peor todavía dejar la ruta libre también y que todo venga desde:

index.php?pag=paginas/web/noticias.php

El problema que platea el código que usas es que se puede hacer algo tipo:

index.php?pag=../../noticias

aunque sólo accederíamos a un archvio .php (y se ejecutaría) que sepamos el nombre (el cual se podría dar por una configuración con "indexes" activados si accedemos a un directorio sin un index.php o .html por un url tipo: www.nose.com/paginas/web)

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 07:41.