Vulnerabilidades en mi sitio

dieguito01 · #1 (**permalink**) 18/09/2007, 20:49

Que tal gente.. estoy haciendo mi sitio en PHP + CSS+ XHTML + MySQL, y estoy viendo la posibilidad de errores y de vulnerabilidades.

Hay alguna forma de evitar que una persona utilice alguna archivo .php fuera de lo que es el sitio.

Por ejemplo, tengo un archivo agregarcomentario.php que es utilizado por comentario.php que comentario.php es utilizado por cualquier usuario ya que muestra un formulario, pero agregarcomentario.php puede ser accedido por la URL. www.misitio.com/agregarcomentario.php

Obviamente si ingreso la URL agregarcomentario.php me va a tirar un error ya que no se lleno el formulario y faltan parámetros.

pero queria evitar esto, de que se pueda utilizar esos archivos.

Se entiende ?

Saludos

deliriumlabs · #2 (**permalink**) 18/09/2007, 21:34

una solucion es que en cometario.php agregues un campo hidden con un id, el que sea, y en agregarcomentario.php valides que se recibe este campo por post. por ejmplo con:

Código PHP:

  if(!isset($_POST['id_llave'])){ 
    echo "no se recibieron los datos correctamente"; 
    exit(); 
}

Espero te sirva ok cualquierduda me avisas porfavor ok?

Saludos

dieguito01 · #3 (**permalink**) 19/09/2007, 11:52

que tal, si es buena esa, pero para formularios.

Como potrego los que no usan formularios y tiene parametros por URL, alguna forma de ocultar los datos por URL ?

DeeR · #4 (**permalink**) 19/09/2007, 15:13

Cita:

Iniciado por dieguito01

que tal, si es buena esa, pero para formularios.

Como potrego los que no usan formularios y tiene parametros por URL, alguna forma de ocultar los datos por URL ?

Pasalo a traves de sessiones o usando cookies

lo otro que podria seria fijarte en el referer (aunq esto = puede ser cambiado)

dieguito01 · #5 (**permalink**) 24/09/2007, 14:55

Muchas gracias por las respuestas.

Ahora tengo un problemita que me surguio. Hice un sistema para postera comentarios y ya enocntraron la vuelta.

Aplicaron un codigo, que al ingresar al comentario este se redirecciona a una pagina, esta echo en javascript y ademas agregan muchos codigos como el sistema de URL de bbcode tambien. No puedo mostrar el comentario ya que no soy un usuario antiguo.

Como puedo solucionar esto ?

GatorV · #6 (**permalink**) 24/09/2007, 15:27

Te recomiendo que bajes y compres el Acunetix Web Vulnerability Scanner, te puede servir para scanear tu sitio y detectar vulneravilidades, adicionalmente te indica como puedes reparar tus errores.

Saludos.