Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] Seguridad includes php

Estas en el tema de Seguridad includes php en el foro de PHP en Foros del Web. Hola buenas, actualmente guardo todas mis claves en un archivo config.php (ya sabeis base de datos y algunas otras) Me gustaría saber si alguien externo ...
  #1 (permalink)  
Antiguo 08/01/2016, 06:20
 
Fecha de Ingreso: julio-2002
Mensajes: 62
Antigüedad: 17 años
Puntos: 0
Seguridad includes php

Hola buenas,

actualmente guardo todas mis claves en un archivo config.php (ya sabeis base de datos y algunas otras)

Me gustaría saber si alguien externo puede hacer un include a mi archivo y obtener las claves y variables.

Es decir

Código PHP:
<?
include("http://www.webajena.com/config.php";
//pruebo variables y alguna puede salir
echo $db_password;
?>
Que opinais?

Gracias!
__________________
Si te he sido de utilidad, valora mi aportación.
  #2 (permalink)  
Antiguo 08/01/2016, 06:24
 
Fecha de Ingreso: enero-2016
Mensajes: 71
Antigüedad: 3 años, 7 meses
Puntos: 14
Respuesta: Seguridad includes php

Si tu accedes a la url indicada que ves?
Ves algo? No vas a ver tu código php porque es solo una definición de variables sin output alguno. Si alguien incluye en su código la dirección, lo que incluye realmente es lo que tu ves en el navegador, osea un archivo vacío por lo que no, no podría hacerlo.

Ahora, si usas extensión .inc o algo parecido que no es interpretado por php y el texto de tu código se puede ver en el navegador entonces si, lo podría usar pero también es visible si accedes directamente.

No se si te quedo claro...

Un saludo,
  #3 (permalink)  
Antiguo 08/01/2016, 11:08
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 11 años, 4 meses
Puntos: 2534
Respuesta: Seguridad includes php

Cita:
Que opinais?
El ejemplo que muestras no serviría, porque al hacer un include/require de un recurso remoto se ejecutaría dicho recurso remotamente: exactamente igual a acceder al script con el navegador.

Y entonces obtendrías únicamente la salida de dicho script, no el código fuente.

Si fuera tan fácil cargar código ajeno PHP no hubiera prosperado.
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.

Etiquetas: includes, seguridad, variable
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 04:39.