"Blindar" una página con datos de conexion

alejoluc · #1 (**permalink**) 02/10/2006, 16:29

Bueno, espero que alguien me pueda guiar en esta duda que tengo y que no puedo encontrarle solucion =)

Voy a tratar de ponerlo como un ejemplo para que quede mas claro:

Yo tengo una pagina (llamemosla "index.php") que llama a una página ("datos_conexion.php") que contiene los datos de la coneccion al servidor MySQL

Código PHP:

  <? 
$MYSQL["host"]= "localhost"; 
$MYSQL["user"]= "user"; 
$MYSQL["pass"]= "pass"; 
?>

Bien, hasta ahora todo bien. Yo, para hacer la conección haría esto desde el archivo index.php

Código PHP:

  <? 
include ("datos_conexion.php"); 
$link= mysql_connect($MYSQL["host"],$MYSQL["user"],$MYSQL["pass"]); 
//Acciones 
mysql_close($link); 
?>

Perfecto. Funciona de mil maravillas.

Pero me surge una duda. Que pasaría si alguien hiciera esto desde un servidor cualquiera?

Código PHP:

  <? 
include ("http://www.miweb.com/datos_conexion.php"); 
echo "$MYSQL[host]<br />$MYSQL[user]<br />$MYSQL[pass]"; 
?>

Bueno, supuestamente mostraria los datos de mi conección.

Una solución posible sería poner la coneccion en cada uno de los archivos sin llamar a uno externo. El problema es que lo necesito para un sistema que posee un archivo "instalador", y desde allí se definen los datos de conección, por lo que se guardan en el archivo "datos_conexion.php"

¿Como podría hacer para que solo pueda accederse al archivo desde mi web? Tenía pensado usar $_SERVER["HTTP_REFERER"] pero no todos los navegadores brindan esa informacion

¿Que tecnicas usan ustedes?

Se agradecen sus respuestas. Y si no podes darme la solucion, igual te agradesco por haberte tomado la molestia de haber leido mi problema

Saludos!

lisandro Arg · #2 (**permalink**) 02/10/2006, 17:57

Puedes cambiar los permisos CHMOD de tu archivo de conexion y buala !!
http://www.ignside.net/man/ftp/chmod.php

renton · #3 (**permalink**) 02/10/2006, 17:58

Cita:

Iniciado por alejoluc

¿Como podría hacer para que solo pueda accederse al archivo desde mi web? Tenía pensado usar $_SERVER["HTTP_REFERER"] pero no todos los navegadores brindan esa informacion

???

TODOS los navegadores dan esa opción, o mejor dicho ninguno: PHP es un lenguaje de servidor, que como su nombre indica se ejecuta en el servidor, así que el navegador aquí no tiene nada que ver. (Si fuera JavaScript sería otra cosa)
Además, $_SERVER["HTTP_REFERER"] sólo te indicará la URL desde donde saltó el navegador a tu página. Si el usuario escribe en el navegador directamente tu web, la variable $_SERVER["HTTP_REFERER"] estará vacía.

Yo en tu caso simplemente utilizaría $_SERVER["SERVER_NAME"], que te devuelve la URL de tu dominio (www.miweb.com). Con eso tendrás más q suficiente.

alejoluc · #4 (**permalink**) 02/10/2006, 18:04

OK muchas gracias por las respuestas.

Con respecto a lo de $_SERVER["HTTP_REFERER"], lei por muchos lados que algunos navegadores no dan esa info.

Y por ejemplo, yo tenia un archivo en la carpeta "carpeta1" que se llamaba "prueba.php", que imprimia el valor de la variable $_SERVER["HTTP_REFERER"]. Si lo ejecutaba desde su ubicacion, me devolvia la URL con "carpeta1", pero si lo incluia desde un archivo en "carpeta2", me daba la URL con "carpeta2"

Saludos y gracias nuevamente

juanitovoy · #5 (**permalink**) 03/10/2006, 08:48

Cita:

Iniciado por alejoluc

OK muchas gracias por las respuestas.

Con respecto a lo de $_SERVER["HTTP_REFERER"], lei por muchos lados que algunos navegadores no dan esa info.

Y por ejemplo, yo tenia un archivo en la carpeta "carpeta1" que se llamaba "prueba.php", que imprimia el valor de la variable $_SERVER["HTTP_REFERER"]. Si lo ejecutaba desde su ubicacion, me devolvia la URL con "carpeta1", pero si lo incluia desde un archivo en "carpeta2", me daba la URL con "carpeta2"

Saludos y gracias nuevamente

Bueno yo de ti, utilizaria mas los CHMOD dar permisos al fichero de conexion, mas que utilizar $_SERVER["HTTP_REFERER"], ya que no siempre hay compatibilidades.

Aunque tambien no se si te pica la curiosidad de saber si alguien con esos datos y password podria conectarse a tu base de datos, entonces es mejor que crees un usuario que solo pueda leer los datos en tu SQL.

Pienso que no hay un ciencia cierta de asegurar todo, a más seguridad mas tiempo de programacion, más complicaciones.

saludos

GatorV · #6 (**permalink**) 03/10/2006, 09:43

Que tal alejoluc,

Si lees en la documentacion de PHP, cuando haces tu un include remoto (via http), PHP hace un GET Request al servidor donde esta hospeado tu archivo, cual es la ventaja de esto?, que puedes reestringir el acceso a ciertos archivos para que no sean leidos, mas que de forma local, es decir:

Código:

/ <- root de tu aplicacion
/archivo1.php <- Accesible via http://miserver/archivo1.php
/archivo2.php <- igual
/config <- Directorio en el cual restringimos el acceso via directivas de Apache, al incluir "config.php" via http:// PHP nos mandara un header 403 No autorizado.
/config/config.php
/config/.htaccess

y en tu .htaccess pones un simple codigo como:

Código:

RewriteEngine On

RewriteRule config/ index.php [F]

Eso mandara el header de Fordibben y no podran incluir tu file via remota.

alejoluc · #7 (**permalink**) 03/10/2006, 11:29

Muchas gracias por las respuestas, voy a intentar :)

alejoluc · #8 (**permalink**) 03/10/2006, 11:36

Disculpen pque vuelva a postear...pero que permisos (CHMOD) me recomiendan usar para mi archivo?