 Autor
|
Tema: ¿Mejor manera de restringir acceso? (Leído 2,362 veces)
|
19.5
 Desconectado
Mensajes: 67
|
Buenas.
Directo al grano. Según sus criterios, ¿cuál es la mejor manera de proteger una página hecha en php por medio de un usuario y contraseña? ¿Y POR QUÉ?
Por ejemplo:
1.- Directamente con un POST (if user="mack" && pass....)
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)
4.- Otro?
Sería interesante que cuando argumenten su opinión, dijeran posibles métodos que vulneraran el mecanismo. Si me decisión fuese la Nº1 se corre el riesgo de un XSS o la Nº3 de una inyección SQL. Y poner algún ejemplo que lo demuestre.
Gracias.
|
|
|
|
|
En línea
|
|
|
|
дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
Desconectado
Mensajes: 5.110
|
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)
Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc.
|
|
|
|
|
En línea
|
|
|
|
19.5
Desconectado
Mensajes: 67
|
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)
Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc. Pero por qué las dos juntas? En el tema dice explicitamente ejemplificar. Gracias.
|
|
|
|
|
En línea
|
|
|
|
дٳŦ٭
GNU/Linux Infrastructure Specialist
Ex-Staff
Desconectado
Mensajes: 5.110
|
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)
Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc. Pero por qué las dos juntas? En el tema dice explicitamente ejemplificar.Gracias. Orale
|
|
|
|
|
En línea
|
|
|
|
19.5
Desconectado
Mensajes: 67
|
Lo que aparece entre paréntesis es sólo una idea de la situación pero NO es considerado como ejemplo. Cuando dije que ejemplificaras que me refería a que publicaras algún code sencillo que explicara esa unión, entre uso de sesiones y una base de datos.
|
|
|
|
|
En línea
|
|
|
|
|
WHK
|
Juaz, y no quieres una taza de café también?,
Tu código es muy básico como para ejemplificar una situación, son muchas las variables y conbinaciones posibles, todo depende el sistema y como esté comprometido ese código dentro del sistema, además solo diste ejemplos, nada concreto donde uno pueda deducir por donde podría fallar.
Yo podría dar ejemplo:
if (!file_exist($ruta)) { NO; } else { OK; }
Ahora yo podría definir OK y NO con funciones declaradas con anterioridad pero en ese ejemplo yo podría decir que no tiene RFI pero si una denegación de servicio si hago un include al propio index, es mas, no es RFI pero si LFI... ahora si mas arriba hubiera filtrado $ruta entonces ya no sería vulnerable, además si todo eso hubiera cambiado dependiendo en que lugar del sistema se encuentre.
En simples palabras tu código es muy pobre como para deducir fallas. Expresate mejor si quieres ejemplos concretos.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Generar palabras de la mejor manera.
« 1 2 »
Java
|
NetJava
|
12
|
7,056
|
18 Abril 2011, 20:57 pm
por NetJava
|
|
|
Mejor manera de formatear
« 1 2 »
Software
|
motocros_elche
|
19
|
6,977
|
3 Noviembre 2011, 16:08 pm
por motocros_elche
|
|
|
|
Mejor manera de crear una aplicación con interfaz gráfico?
Programación General
|
skan
|
0
|
1,690
|
28 Noviembre 2011, 19:49 pm
por skan
|
|
|
|
Mejor manera de hacer un seguimiento de usuarios? (con gráficas)
Desarrollo Web
|
4nc3str4l
|
2
|
2,064
|
20 Enero 2013, 14:55 pm
por 4nc3str4l
|
|
|
|
Mejor manera de detectar Rootkits?
Seguridad
|
Protio
|
4
|
2,510
|
14 Mayo 2014, 21:08 pm
por Gh057
|
 |
- 