Contenido de las cabeceras html dinamico.

srsombrero · #1 (**permalink**) 08/11/2008, 16:25

Hola amigos, quisiera consultar una pequeña duda que ya me ha tenido encasillado unos cuantos dias.

Quisiera saber si al modificar el contenido de una cabecera html incluyendo codigo php podria ser un riesgo de seguridad.

Digamoslo asi:

Tengo un <html><head></head></html><body></body>

Suponganse que quiero que este head sea dinamico.

es decir

<html><head><?php include("Headers.php"); ?></head></html><body></body>

Podria implicar un riesgo de seguridad esto?, es decir el nombre del archivo va a ser estatico siempre, ¿podria implicar que alguien pueda emular metodos post? u otras yerbas como redireccionamiento por metatags?
¿Si hay riesgos cuales son?

Muchisimas gracias.

David · #2 (**permalink**) 08/11/2008, 16:39

Según mi escaso conocimiento no es un riesgo de seguridad mientras el nombre del archivo incluído la coloques directamente y no a través de una variable recibida por POST o GET.

srsombrero · #3 (**permalink**) 08/11/2008, 16:58

Cita:

Iniciado por David el Grande

Según mi escaso conocimiento no es un riesgo de seguridad mientras el nombre del archivo incluído la coloques directamente y no a través de una variable recibida por POST o GET.

Perfecto, entonces me quedo tranquilo, porque era un tema que me estaba rompiendo bastante.

¿Ahora en si, si yo abriria una peticion con fsockopen a la pagina, seria medio dificil que apache deje escribir dentro de este archivo no?
¿Porque ya seria un tema de privilegios no?

Saludos y muchas gracias.

GatorV · #4 (**permalink**) 08/11/2008, 19:47

Mmm a que te refieres con "Apache deje de escribir a ese archivo", cuando tu haces una petición con fsockopen es lo mismo que si la hicieras con tu explorador.

Saludos.