Seguridad en consultas

juanito1712 · #1 (**permalink**) 26/10/2012, 19:26

Estoy apunto de lanzar mi primera "aplicacion seria" y como hasta ahora todo habian sido experimentos y cosas que no esperaba que resultasen altamente explotadas y simplemente eran para aprender, no me habia puesto demasiado paranoico con un tema en concreto, la seguridad

Y me pregunto hasta que punto son seguras las variables de sesion de php... ya que las utilizo por ejemplo para limitar mis consultas en gran gantidad de ocasiones y que a distintos clientes les sea imposible acceder a los datos de otros clientes que esten registrados en la base de datos.¿es posible que las falseen de algun modo?

ellos nunca podrían saber que ese dato se utiliza en la consulta como delimitador ni que valor de variable pueden tener pero no se si será posible que un usuario pueda recuperar de algun modo extraño las variables de sesion o modificarlas o nose...

¿alguien puede dar fé de que utilizar variables de sesión para otorgar cierta seguridad es bueno?

si que tengo muy limitado que nadie pueda loguear, controlado de todas las formas posibles que están al alcance de mi conocimiento, hasta he caído un en redundancias, pero bueno, en el login no me parece excesivo "que un script compruebe de 1 al 3 y el otro del 2 al 4" pero las páginas internas las tengo limitadas a que un usuario esté logueado o no para poder ejecutar el codigo y luego usar las variables de sesion como limitadores para los registros a los que podrán acceder y que asi las consultas de una empresa no puedan devolver las de otra.

¿dejarle esas competencias a unas variables de sesión que jamas conocerá el cliente es seguro?

---edito
las internas están aseguradas con el login correcto y que los request no incluyan ningun caracter "indeseable" y esas cosas.

Estoy un poco paranoico con la seguridad, pero bueno... creo que es algo que debe ser así para evitarse problemas serios, mas aun tal y como esta la ley de protección de datos hoy en día...

Nemutagk · #2 (**permalink**) 26/10/2012, 19:36

Las variables de sesión son guardadas del lado del servidor, la unica manera de manipular las variables es tener acceso al servidor, lo que si se puede hacer es "secuestrar" la sesión, pero esto es muy complicado, veras, las sesiones son guardas del lado del servidor, pero, el servidor necesita saber de quien es que sesión, por lo tanto, el servidor crea una cookie en cada cliente guardando en esta el SID o ID de la sesión, para secuestrar la sesión lo unico que se debe hacer es cambiar ese ID por otro ID valido, PERO no es tan sencillo como se lee, un ID de una sesión es alfanumerico y de por lo menos 32 caracteres, por lo cual, adivinar o sacar a fuerza bruta un ID de sesión es muy complicado y tardado...

juanito1712 · #3 (**permalink**) 26/10/2012, 20:38

entonces puedo confiar en simplemente una variable de sesion boleana para que ejecute un codigo o no dependiendo de si el usuario ha sido validado con éxito?

(nada mas acceder por primera vez a la página creo una sesion y genero esa variable a false y otra como que el proceso de primer acceso ha sido realizado a true y si no se ha relizado el proceso, pues lo realizo XD)