Consulta sobre una duda de php

kriss8725 · #1 (**permalink**) 24/02/2010, 13:00

Que tal buena tarde, quiero si las variables de $_SESSION se pueden pasar por la url, esto lo pregunto porque quiero saber si mi pagina web quedaria vulnerable ante eso, muchas gracias.

ONahuelO · #2 (**permalink**) 24/02/2010, 13:02

Las variables $_Sesion las definis vos del lado del servidor, si vos juntas la variable desde la url y la definis como secion si, pero si no no :)

kriss8725 · #3 (**permalink**) 24/02/2010, 13:06

Gracias por tu respuesta mira este es mi archivo donde creo variables de session dime porfavor si tengo algun problema:

Código PHP:

  <?php 
session_start();//se inicia la sesion 
    require("includes/conexion.php"); 
    if (isset($_POST['txtusu'])) 
    {//inicio del if si se usa txtusu 
      $usuario=$_POST['txtusu']; 
      $clave=$_POST['txtpass']; 
        if (($usuario=="") || ($clave=="")) 
        {//inicio del if si clave o usuario =" " 
           $_SESSION['NO']="Debe llenar las dos cajas de texto!!!"; 
           $dom="inicio_sesion.php";               
                    header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom);  
        }//fin del if si clave o usuario ==" "  
          else 
          {//inicio del else si los campos txtusu y txtclave no son vacios          
             $sql = sprintf("SELECT * FROM usuarios WHERE nom_usu='".mysql_real_escape_string($usuario)."'"); 
             $r = mysql_query($sql,$con); 
             $fila=mysql_fetch_array($r);      
                if ($fila > 0) 
                {//inicio del if si fila > 0 
                $pass = $fila['password']; 
                $clave = sha1($clave); 
                        if ($pass == $clave) 
                        {//inicio del if para validar la clave 
                            session_register('nom_usu'); 
                            $_SESSION['nom_usu'] = $fila['nombre'].' '.$fila['ape_pat'].' '.$fila['ape_mat']; 
                            $_SESSION['tiempo'] = time(); 
                            $_SESSION['tipo_usu'] = $fila['tipo_usu']; 
                            $dom="sistema.php"; 
                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom);  
                        }//fin del if para validar la clave 
                        else 
                        {//inicio del else del pasword 
                            $_SESSION['NO']="Contraseña no válida!!!"; 
                            $dom="inicio_sesion.php"; 
                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom); 
                        }//fin del else del password 
                }//fin del if si fila > 0 
                        else 
                        {//inicio del else del usuario 
                            $_SESSION['NO']="Nombre de usuario no válido!!!"; 
                            $dom="inicio_sesion.php"; 
                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom); 
                        }//fin del else del usuario 
                        mysql_free_result($sql);//libera la consulta 
           }//fin del else si los campos txtusu y txtclave no son vacios 
                    mysql_close();//se cierra mysql 
    }//fin if si se usa txtusu 
else 
session_destroy();//se termina la sesion            
?>

eulloa · #4 (**permalink**) 24/02/2010, 13:09

Cita:

Iniciado por kriss8725

Que tal buena tarde, quiero si las variables de $_SESSION se pueden pasar por la url, esto lo pregunto porque quiero saber si mi pagina web quedaria vulnerable ante eso, muchas gracias.

Si ya vas a utilizar sesiones, no tienes porque pasarlas por URL

, mas info sobre session
http://www.google.com/search?hl=es&q...meta=&aq=f&oq=

eulloa · #5 (**permalink**) 24/02/2010, 13:11

A simple vista, no parece tener algún problema
¿Te ha presentado alguno a tí?

kriss8725 · #6 (**permalink**) 24/02/2010, 13:17

no me a presentado ningun problema, gracias pero solo que queria estar seguro de eso y las variables no las paso por la url, lo preguntaba por si alguien queria entrar a una seccion que no deberia y pusiera la variable por la url

eulloa · #7 (**permalink**) 24/02/2010, 13:22

Cita:

Iniciado por kriss8725

no me a presentado ningun problema, gracias pero solo que queria estar seguro de eso y las variables no las paso por la url, lo preguntaba por si alguien queria entrar a una seccion que no deberia y pusiera la variable por la url

El tema de la seguridad de sesiones en PHP ha sido ampliamente abordado, puedes consultar
http://www.google.com/search?hl=es&q...meta=&aq=f&oq=

Si quieres profundizar