Foros del Web » Programando para Internet » PHP »

Seguridad en PHP

Estas en el tema de Seguridad en PHP en el foro de PHP en Foros del Web. Buenas noches, necesito algun guro de la programación en PHP para solucionar esto,a ver tengo mis páginas con un tipo de restricción para evitar intrusos, ...
  #1 (permalink)  
Antiguo 08/07/2003, 21:31
 
Fecha de Ingreso: marzo-2003
Ubicación: Bogotá
Mensajes: 199
Antigüedad: 14 años, 9 meses
Puntos: 0
Seguridad en PHP

Buenas noches, necesito algun guro de la programación en PHP para solucionar esto,a ver tengo mis páginas con un tipo de restricción para evitar intrusos, pero no es la solución óptima, tengo lo siguiente :
en un archivo que llamo validate lo siguiente

<?php
session_start();
if(!(session_is_registered("codigo")))
{
header("Location:http://www.mipagina.com/index.htm");
exit();
}
?>

Pero lei en algun lado que si yo coloco en el navegador la variables (en este caso codigo) codigo = yes; (o algo así)
puedo acceder y esa no es la idea, alguien conoce algún método mas seguro para implementar mis páginas Web restringidas???? o alguna Web que lo explique.

Gracias.
  #2 (permalink)  
Antiguo 08/07/2003, 22:44
Avatar de e-miliox  
Fecha de Ingreso: noviembre-2002
Ubicación: San Antonio - Chile
Mensajes: 223
Antigüedad: 15 años, 1 mes
Puntos: 7
bueno eso depende de como este el php configurado en el servidor.

si esta con register_globals en OFF no habria problema pues no te podrian "envenenar" las variables,ademas deberias usar ciertas buenas costumbres al recibir las variables de pagina en pagina:

para recibir vars de un formulario:
$pass = $HTTP_POST_VARS['pass'];

para recibir una var que viene en la url al presinoar un link:
$accion = $HTTP_GET_VARS['accion'];

como ves, es ideal traer TODAS los datos que vienen del exterior desde donde corresponden.

ahora si por ejemplo , esta variable register_globals estuviese en off, podrias modificar solo poniendo el nombre de una var y un valor en la url, y si no compruebas en tu script que la variable que estas evaluando viene de donde tu piensas que viene, pueden pasar cosas como esta

en la url:
index.php?admin=1

en el script
if ($admin != 1) header("login.php");
...
echo "bienvenido administrador, presione en los links para administrar los contenidos"



es algo tonto el ejemplo pero sirve para graficar...

bueno eso, mas info en www.php.net, google, y paginas de seguridad en php

saludos

pd: se me olvidaban dos cosas
1.- el unico l33t gUr00 aca es el tio google
2.- puedes ver el estado de register_globals haciendo un phpinfo();
__________________
=PoWeReD By MySeLf!=
  #3 (permalink)  
Antiguo 08/07/2003, 22:59
Avatar de dwaks  
Fecha de Ingreso: agosto-2002
Ubicación: Panamá
Mensajes: 962
Antigüedad: 15 años, 4 meses
Puntos: 15
saludos, verificate esta url y veras que te puede ayudar:
http://www.webestilo.com/php/php11b.phtml

Me despido.
  #4 (permalink)  
Antiguo 09/07/2003, 22:23
 
Fecha de Ingreso: marzo-2003
Ubicación: Bogotá
Mensajes: 199
Antigüedad: 14 años, 9 meses
Puntos: 0
De acuerdo Gracias

Muchisimas gracias por los comentarios, ya me dan bastante luces para el manejo de la seguridad en PHP

Gracias
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:21.