Título: Evitar cookie nula en php Publicado por: 0x0309 en 18 Octubre 2009, 04:42 am Hola, me gustaría preguntar de qué manera se puede evitar una cookie nula.
Por ejemplo, en un sitio existía un mecanismo de autenticación algo así (los nombres los he cambiado): /adm/control.php Código: <?php /adm/index.php Código: <?php y al acceder a /adm/control.php se va a index.php porque no está registrada la variable de sesión. Pero si modifico el contenido de la Cookie con tamper data así: Código: PHPSESSID= Se produce lo siguiente: Código: Warning: session_start() [function.session-start]: The session id contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in C:\sitio\adm\control.php on line 3 Entonces, mi pregunta es cómo evitar que session_start() se caiga ante un ataque así. Título: Re: Evitar cookie nula en php Publicado por: WHK en 18 Octubre 2009, 19:02 pm Ese es un bug de PHP, puedes actualizar php y no te debería suceder eso, es path disclosure.
Por otra parte: Código
está mal hecho porque enviará el header de redirección pero de todas formas dirá panel de admin ya que el script nunca terminó, o sea.... el servidor envía el header "location: index.php" y el explorador lo interpretará y se redireccionará pero en realidad también mostrará el contenido del panel de administración y cualquiera podría ingresar omitiendo ese header o haciendo la petición desde la consola de comandos. Lo que debes hacer es ponerle un exit para que el script no siga: Código
Título: Re: Evitar cookie nula en php Publicado por: 0x0309 en 18 Octubre 2009, 22:05 pm ah, gracias por la info.
hice una funcion para iniciar sesión, aunque creo que es más práctico lo que dices de agregar el exit, y también un error_reporting(0). Código
|