Es una mala practica incluir los archivos al index?

Lautaro_eb · #1 (**permalink**) 09/07/2011, 08:58

Buenas vengo a plantearle la prengunta un poco tarde porque ya inicie el proyecto , pero creo que se puede cambiar espero.

Es una mala practica ingresar todo el contenido al index ? osea tengo registro .php y ago un require y lo cargo en el index EJ

Código:

URL index.php?file=registro

Código PHP:

  if(isset($_GET['file'])){ 
    $archivo = $_GET['file'].".php"; 
    if(file_exists($archivo)){ 
        $string = require($archivo); 
    }else{ 
        $string = require('404.php'); 
    } 
}else{ 
    /**** Code ****/ 
} 
echo $string;

Bueno muchas gracias.

maycolalvarez · #2 (**permalink**) 09/07/2011, 09:04

amigo estás haciendo justamente un RFI, obviamente no es la mejor manera

Lautaro_eb · #3 (**permalink**) 09/07/2011, 09:19

Muchas gracias por la rapida respuesta la directiva de conexion externa esta desactivida.
El proyecto es para administrar una clase en una red local sin conexion a internet no creo que este sea un riesgo.

dvbeaumont · #4 (**permalink**) 09/07/2011, 12:18

No comprendo,

Está mal que haga

Include_ xxxxxx

dentro del INDEX?

Cómo debo llamar las páginas entonces?

Slds,

#5 (**permalink**) 09/07/2011, 12:40

Cita:

Iniciado por dvbeaumont

No comprendo,

Está mal que haga

Include_ xxxxxx

dentro del INDEX?

Cómo debo llamar las páginas entonces?

Slds,

No esta mal siempre y cuando pongas seguridad.

SMF trabaja con un index incluyendo otros archivos, smarty trabaja incluyendo y remplazando texto por codigo php.

Así que no esta mal, es un sistema modular, siempre y cuando le pongas seguridad

Saludos

dvbeaumont · #6 (**permalink**) 09/07/2011, 12:45

Qué tipo de seguridad existe?

O donde puedo leer eso?

#7 (**permalink**) 09/07/2011, 12:50

Código PHP:

Ver original<?php
   $color = 'blue';
   if (isset( $_GET['COLOR'] ) )
      $color = $_GET['COLOR'];
   include( $color . '.php' );
?>

Es vulnerable a RFI ( ahora creo que ya no porque solo te deja incluir algo dentro del server y no paginas externas )

Le podes poner Switch o que antes busque en un array aver si es unos de los archivos permitidos.

Yo me acuerdo que una vez me pude descargar toda una pagina porque tenían un archivo que descargaban imagenes y no tenia seguridad.

Entonces las respuestas son:
- Switch
- Verificar si existe en un array
- is_file()

Sourcegeek · #8 (**permalink**) 09/07/2011, 12:55

Aunque no tengas la directiva activada, es un gran agujero de seguridad!
Imagínate! Si tu página acepta subir archivos, te suben una Webshell y tienen acceso a todo tu servidor!

Además, pueden hacer algo como esto:
tupagina.com/index.php?file=../../../etc/passwd%00 (donde ../ es tantas veces como sea necesario) y
tienen acceso al archivo passwd de tu server sin ser una inclusión externa

Deberias checar antes los nombres de archivo que permites y pasar a la variable por ese chequeo antes de incluírla.

miwelillo · #9 (**permalink**) 09/07/2011, 13:10

Cita:

Iniciado por marcofbb

Código PHP:

Ver original<?php
   $color = 'blue';
   if (isset( $_GET['COLOR'] ) )
      $color = $_GET['COLOR'];
   include( $color . '.php' );
?>

Es vulnerable a RFI ( ahora creo que ya no porque solo te deja incluir algo dentro del server y no paginas externas )

Le podes poner Switch o que antes busque en un array aver si es unos de los archivos permitidos.

Yo me acuerdo que una vez me pude descargar toda una pagina porque tenían un archivo que descargaban imagenes y no tenia seguridad.

Entonces las respuestas son:
- Switch
- Verificar si existe en un array
- is_file()

tambien añadiria filtrar caracteres no deseados como \, /, ., .., etc. para que no suceda lo que comenta Sourcegeek

dvbeaumont · #10 (**permalink**) 09/07/2011, 13:11

Cosas como ésta están mal hechas?

Código PHP:

  <?php 
include ('top.php') 
?>

(dando a entender que se incluya ahí el header)

en el index??

miwelillo · #11 (**permalink**) 09/07/2011, 13:14

Cita:

Iniciado por dvbeaumont

Qué tipo de seguridad existe?

O donde puedo leer eso?

precisamente hay un pequeño debate sobre el tema en este mismo foro con algunos ejemplos

http://www.forosdelweb.com/f18/posib...ar-php-927852/

#12 (**permalink**) 09/07/2011, 13:39

Cita:

Iniciado por dvbeaumont

Cosas como ésta están mal hechas?

Código PHP:

  <?php 
include ('top.php') 
?>

(dando a entender que se incluya ahí el header)

en el index??

No, esta bien echa, porque incluye a un solo archivo top.php y no a varios dinamicamente

dvbeaumont · #13 (**permalink**) 09/07/2011, 14:01

Entiendo,

Cuando se hacen acciones en php de PHPSELF quiere decir que está el código encriptado en la misma hoja entonces está vulnerable?

Por ejm un formulario que haga un upload en la misma página?

Lautaro_eb · #14 (**permalink**) 21/07/2011, 00:15

El tema de la seguridad la tengo claro y ya lo eh trabajado anteriormente al post , mi pregunta era que tan eficiente era. Agradesco Sus respuestas.

juanmtzlo · #15 (**permalink**) 21/07/2011, 00:35

Cita:

Iniciado por dvbeaumont

Entiendo,

Cuando se hacen acciones en php de PHPSELF quiere decir que está el código encriptado en la misma hoja entonces está vulnerable?

Por ejm un formulario que haga un upload en la misma página?

No, $_SERVER['PHP_SELF'], solo te devuelve el nombre del script que se esta ejecutando pero no se encripta,

Si usas PHP_SELF en action de tu formulario, yo te recomendaria que lo dejes vacio y ya te hara el upload en la misma página

Ahora la subida de archivos, tambien implica riesgos de seguridad, por lo que debes permitir solo los tipos de archivos que realmente quieres

juancenter · #16 (**permalink**) 21/07/2011, 02:46

Hola, estaba leyendo este post y está muy interesante, ya que hay cosas que desconozco, nunca las había visto y me gustaría aprender...

amigos si esto esta mal

Código PHP:

  <?php  
include ('top.php')  
?>

como debiera de ser para que no hayan vulnerabilidades??

otra pregunta... es mejor crear un formulario que cargue en la misma página o que envía a una nueva?? existe algún ejemplo?

gracias.

juanmtzlo · #17 (**permalink**) 21/07/2011, 16:30

Cita:

Iniciado por juancenter

Hola, estaba leyendo este post y está muy interesante, ya que hay cosas que desconozco, nunca las había visto y me gustaría aprender...

amigos si esto esta mal

Código PHP:

  <?php  
include ('top.php')  
?>

como debiera de ser para que no hayan vulnerabilidades??

otra pregunta... es mejor crear un formulario que cargue en la misma página o que envía a una nueva?? existe algún ejemplo?

gracias.

Hola
El código de include('top.php') no es vulnerable
Da igual si el formulario se envia en la misma página o en una diferente, lo que hay que hacer es validar todas las variables $_POST evitando que se meta javascript, html, codigo mailcioso

Saludos