elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  ¿Mejor manera de restringir acceso?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Mejor manera de restringir acceso?  (Leído 1,445 veces)
19.5

Desconectado Desconectado

Mensajes: 67


Ver Perfil
¿Mejor manera de restringir acceso?
« en: 14 Diciembre 2007, 22:00 pm »

Buenas.
Directo al grano. Según sus criterios, ¿cuál es la mejor manera de proteger una página hecha en php por medio de un usuario y contraseña? ¿Y POR QUÉ?
Por ejemplo:

1.- Directamente con un POST (if user="mack" && pass....)
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)
4.- Otro?

Sería interesante que cuando argumenten su opinión, dijeran posibles métodos que vulneraran el mecanismo. Si me decisión fuese la Nº1 se corre el riesgo de un XSS o la Nº3 de una inyección SQL. Y poner algún ejemplo que lo demuestre.

Gracias.


En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Colaborador
***
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: ¿Mejor manera de restringir acceso?
« Respuesta #1 en: 14 Diciembre 2007, 23:29 pm »

Citar
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)

Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc.


En línea



Con sangre andaluza :)

19.5

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Mejor manera de restringir acceso?
« Respuesta #2 en: 15 Diciembre 2007, 05:40 am »

Citar
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)

Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc.
Pero por qué las dos juntas? En el tema dice explicitamente ejemplificar.
Gracias.
En línea

дٳŦ٭
GNU/Linux Infrastructure Specialist
Colaborador
***
Desconectado Desconectado

Mensajes: 5.110


Ver Perfil WWW
Re: ¿Mejor manera de restringir acceso?
« Respuesta #3 en: 15 Diciembre 2007, 05:51 am »

Citar
2.- Uso de sesiones e include (archivo autentificador: if $_SESSION[blabla] .....)
3.- Mediante base de datos (mysql_query(SELECT * ......)

Las dos juntas. Riesgo, inyección sql, xss, hasta rfi, etc.
Pero por qué las dos juntas? En el tema dice explicitamente ejemplificar.
Gracias.

Orale
En línea



Con sangre andaluza :)

19.5

Desconectado Desconectado

Mensajes: 67


Ver Perfil
Re: ¿Mejor manera de restringir acceso?
« Respuesta #4 en: 15 Diciembre 2007, 21:13 pm »

Lo que aparece entre paréntesis es sólo una idea de la situación pero NO es considerado como ejemplo. Cuando dije que ejemplificaras que me refería a que publicaras algún code sencillo que explicara esa unión, entre uso de sesiones y una base de datos.
En línea

WHK
CoAdmin
***
Desconectado Desconectado

Mensajes: 6.562


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: ¿Mejor manera de restringir acceso?
« Respuesta #5 en: 18 Diciembre 2007, 08:57 am »

Juaz, y no quieres una taza de café también?,

Tu código es muy básico como para ejemplificar una situación, son muchas las variables y conbinaciones posibles, todo depende el sistema y como esté comprometido ese código dentro del sistema, además solo diste ejemplos, nada concreto donde uno pueda deducir por donde podría fallar.

Yo podría dar ejemplo:
if (!file_exist($ruta)) { NO; } else { OK; }

Ahora yo podría definir OK y NO con funciones declaradas con anterioridad pero en ese ejemplo yo podría decir que no tiene RFI pero si una denegación de servicio si hago un include al propio index, es mas, no es RFI pero si LFI... ahora si mas arriba hubiera filtrado $ruta entonces ya no sería vulnerable, además si todo eso hubiera cambiado dependiendo en que lugar del sistema se encuentre.

En simples palabras tu código es muy pobre como para deducir fallas. Expresate mejor si quieres ejemplos concretos.
En línea

- Telegram: @WHK102 - Website: https://yhojann.cl/
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Generar palabras de la mejor manera. « 1 2 »
Java
NetJava 12 5,218 Último mensaje 18 Abril 2011, 20:57 pm
por NetJava
Mejor manera de formatear « 1 2 »
Software
motocros_elche 19 3,154 Último mensaje 3 Noviembre 2011, 16:08 pm
por motocros_elche
Mejor manera de crear una aplicación con interfaz gráfico?
Programación General
skan 0 893 Último mensaje 28 Noviembre 2011, 19:49 pm
por skan
Mejor manera de hacer un seguimiento de usuarios? (con gráficas)
Desarrollo Web
4nc3str4l 2 1,138 Último mensaje 20 Enero 2013, 14:55 pm
por 4nc3str4l
Mejor manera de detectar Rootkits?
Seguridad
Protio 4 1,427 Último mensaje 14 Mayo 2014, 21:08 pm
por Gh057
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines