Pregunta de Seguridad PHP

Que tal,

Tengo un dominio y desarrollo todo en localhost y luego lo subo.

Utilizo paso de variables por GET generalmente $_GET['mi_variable'].

Desde una página que lista proveedores por ejemplo, puedo ver la información detallada pasando el id así:

y esto es lo típico, cuando inserto y cuando actualizo, etc.

La pregunta es:

Alguien desde otro dominio puede cargar datos en mis páginas o enviar valores?



Y grabar valores en mi BD ???

Será posible? o es Paranoia.

Tengo el php.ini por default, solo he activado la GD.


Saludos.

si es posible, se recomienda siempre como uso seguro enb vez del método GET, el método POST <form method="POST" action="tupagina.php" ......></form>.

El get se suele usar cuando la información es irrelevante, además el paso de variables por URL queda muy feo para una web, pudiendose pasar los valores por el métodos por, y asi quedar la URL libre, no se si te servirá de algo, espero que si.

Cuando pasas una variable por URL, cambiando el número de id en la página de destino, se obtiene la información de la página que corresponde a la id que has escrito.

Lo mismo se puede hacer mirando el código fuente de la página de origen y haciendo una página con sólo el formulario, ir poniendo la id con distinto valor y así vas viendo páginas. Pero esto es así también para las variable pasadas por POST.

En ambos casos, al recibir la variable id, la página de destino conecta a la BD y hace lo que está previsto, que suele ser un select de una tabla y la impresión de resultados.

Si la página de destino hace lo que comento, yo no veo grandes problemas a que la variable se la pases por GET.

En cambio, si la página de destino va a modificar la BD, entonces sí que hay problemas, pero yo los veo con ambos métodos. Pero para eso está la autentificación de usuarios, las sesiones y las cookies.

En definitiva, yo creo que todo depende de lo que haga la página de destino.

Yo utilizo un sistema de validación de usuarios por sesiones.

Asegurate de que tu register global de php.ini este en OFF

Se supone que los array superglobales solucionan este problema, pues las variables no llegan desde fuera, sino que se crean en el servidor. Es decir, usar siempre $_POST o $_GET y tambien $_SERVER['HTTP_REFERER'] para asegurarse que determinada pagina o script ha llamado y pasado valores al script que manipula dichas variables.

No, los arrays superglobales no solucionan el problema de "inyección remota" de datos .. sólo aseguran que entren por el método esperado .. sea GET o POST. Perfectamente con un formulario puedes simular GET o POST cara a tu otro servidor.

El uso del "HTTP_REFERE" tampoco es muy fiable. Como dato que se envia como cabecera HTTP entre la comunicación cliente-servidor .. es fácilmente alterable .. de hecho muchos proxys, firewall's y antivirus ocultan dicha información (no la entregan) .. así que en algúnos casos (usuarios que pasen por un proxy .. firewall .. etc) no vas a poder obtener dicha información .. y la conexión será completamente licita (vendrá de tu própio sitio).

Recomiendo usar sesiones .. iniciadas en tu script que contiene tu formulario el cual ataca a tu "proceso.php" y validado en proceso.php la existencia de la variable de sesión que creastes en tu formulario.php. Si entras directo a "proceso.php" .. tus variables de sesión no existiran y por ende tu validación cortará el proceso.

Un saludo,

Nadie probo con $_SERVER['SERVER_NAME'] o $_SERVER['HTTP_HOST'] ??
eso no es fiable??

creo que la mejor opcion es usar, como dijo SIR.CARAJODIDA, la variable $_SERVER['HTTP_HOST']... simplemente debes colocar un if en el script que procesa (no en el formulario) el resultado y, de no coincidir el contenido de $_SERVER... con tu host simplemente no ejecutarlo.