Imprimir Página - crear enlaces seguros para las paginas php

Título: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 24 Septiembre 2014, 13:16 pm

Hola, me gustaría saber cual es la manera mas segura de crear enlaces seguros para las paginas de mi sitio web.

Acaba de leer un pequeño tutorial donde aparece un codigo con el que se supone que no será facil hackear la web, pero es del año 2006 y tengo dudas por si ya no es tan seguro como lo era antes... Aqui esta el link: Safe Dynamic Includes (http://www.jemjabella.co.uk/2006/safe-dynamic-includes/)

Tambien he visto otra manera: Safe Dynamic Includes (http://wiki.hashphp.org/Safe_Dynamic_Includes), pero tampoco se si hay otras maneras mas seguras para crear los links de una pagina a otra.

Lo normal es las paginas suele ser

Código

<a href="index.php?x=pagename">Link</a>

Pero al parecer cambiando la variable de sesion por otra, el link puede ser de otra manera:

Código

$_GET['x']; -> $_SERVER['QUERY_STRING'];

Código

<a href="index.php?pagename">Link</a>

¿Podriais confirmar que maneras son más seguras?

Gracias!

Título: Re: crear enlaces seguros para las paginas php
Publicado por: engel lex en 24 Septiembre 2014, 19:30 pm

yo uso "tablas de rutas"

es decir, una db que contenga 2 campos, "link" y "ruta", entonces al llamar, busco en la db si algún valor coincide con el recibido, si coincide, se hace un include con la ruta devuelta, eso te sirve incluso al grado que la pagina "producto" puede ser "pagina_de_fondo.php"

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 24 Septiembre 2014, 19:45 pm

¿Enlaces seguros? Las rutas son tan seguras como el código que ejecuta esa ruta en especifico. Es importante 'limpiar' todo input humano o te arriegas a un XSS, RFI o algo peor.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 24 Septiembre 2014, 20:07 pm

Es facil... solo debes hacer un array con todas las posibles rutas y luego hacer la comparación con tu parámetro get, si existe la incluyes y si no existe das un 404, de esa manera te aseguras que solamente las rutas reales van a ser solicitadas y nada de cosas extrañas con rutas extrañas.

Por ejemplo:

Código

<?php
 
if(in_array('includes/'.(string)$_GET['sección'].'.php', glob('includes/*.php')))
	include('includes/'.(string)$_GET['sección'].'.php');
else
	include('includes/404.php');

El cast (string) es para que no te de una excepción si te pasan arrays como parámetros.

También puedes aceptar directorios como lo hace wordpress cuando puedes poner un plugin como plugin.php o una carpeta llamada plugin y un index:

Código

<?php
 
/* Es archivo */
if(in_array('includes/'.$_GET['sección'].'.php', glob('includes/*.php')))
	include('includes/'.$_GET['sección'].'.php');
 
/* Es directorio */
elseif(in_array('includes/'.$_GET['sección'].'/index.php', glob('includes/*/index.php')))
	include('includes/'.$_GET['sección'].'/index.php');
 
/* No existe */
else
	include('includes/404.php');

Ahora, si usas file_exists() o is_dir() tendrás que tener cuidado con los agujeros de tipo LFI o RFI, usar esas fuinciones para incluir archivos es muy mala práctica.

Según el blog de donde das en enlace ( http://www.jemjabella.co.uk/2006/safe-dynamic-includes/ ) dice que se debe hacer así:

Código

if (strpos($_GET['x'], "/")) {
      $dir = substr(str_replace('..', '', $_GET['x']), 0, strpos($_GET['x'], "/")) . "/";

Es una malisima práctica, muchos sistemas han sido programados de esa manera y estan llenos de agujeros de seguridad como unos mods y plugins para phpnuke, joomla y wordpress, por ejemplo esto sería vulnerable en base a ese código:

index.php?x=.htpasswd

a demás strpos() solo te indica la primera coincidencia, o sea que yo podría escribir algo//algo y bypasear el filtro, insertar carácteres nulos para cortar el include con un %00, etc etc.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 24 Septiembre 2014, 21:15 pm

Gracias por las respuestas.

Eso de la tabla de rutas que comenta engel lex es interesante, es algo parecido a lo que comenta WHK, las "whitelist".

Pero en el ejemplo que has puesto, ¿asi tal cual sería seguro? sin hacer un preg_replace o str_replace? Y lo que dice MinusFour, lo de limpiar los input, tiene algo que ver tambien con sanitizar?

Me gustaría algo para no tener que mostrar la ruta, simplemente un nombre, poniendo la ruta en el script.

Por ejemplo si quiero llamar al archivo: register.php dentro de 'views/user/'

Y el link quedase: index.php?register ¿O esto no es seguro?

Pero no se si seria un problema para mostrar el contenido, lo que quiero hacer tambien y no se si hay otra manera mejor, es tener un layout con header (header+menu) y footer, y en medio haciendo un echo content(); para cargar el contenido de los views y no tener que cambiar nada del layout en todas las paginas de contenido. El index.php cargaría el layout y el layout cargaria los views.

¿Hay algún problema para hacer eso? Supongo que hara falta crear una funcion para cargar el contenido.

Gracias!

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 24 Septiembre 2014, 22:24 pm

Cita de: gAb1 en 24 Septiembre 2014, 21:15 pm

Pero en el ejemplo que has puesto, ¿asi tal cual sería seguro? sin hacer un preg_replace o str_replace? Y lo que dice MinusFour, lo de limpiar los input, tiene algo que ver tambien con sanitizar?

Así es, es un método muy seguro, no te tienes que estar preocupando de tener que modificar tu código o base de datos cada ves que agregas secciones nuevas porque se verifican automáticamente en cada carga.

no necesitas un replace ni un limpiado de rutas ni nada de eso, es como si estuvieras intentando tapar el sol con un dedo, son técnicas que no siempre funcionan y son por decirlo muy absurdas, generalmente se ven en códigos hechos por menores de edad o personas que recién están aprendiendo a programar. Es similar a lo que antiguamente muchos hacían... ponerle safe mode en on para supuestamente proteger los servidores, muchos lo hacían pero al final no servía de mucho.

Lo de limpiar inputs es una pesima práctica, es como tratar de enumerar todas las posibles maneras que existen de como robar una casa, siempre habrá alguien que encuentre una manera nueva de entrar, en ves de eso haz una casa normal con seguros en las puertas y listo.

Por lo general debido a personas que piensan que limpiando inputs van a solucionar los problemas de seguridad es porque hoy en día hay tantos sitios expuestos a vulnerabilidades. Puede servir para intentar prevenir algunos tipos de ataques basicos pero jamas para detener todo lo que existe, en este caso limpiar inputs para prevenir el lfi o el rfi es un tema demasiado extenso y complejo si no quieres usar listas blancas, ya existen muchos sistemas que llevan años intentando solucionar este problema en base a filtros tales como phpnuke y algunos sistemas en .NET, por esocorta por lo sano y haz una lista blanca, es rápido y ultra seguro, todos los inputs que no contengan una url real serán rechazadas aunque sean rutas validas, es lo mas sano.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 24 Septiembre 2014, 23:01 pm

Te estas llendo por las ramas WHK.

Filtrar texto si puede ser una mala práctica, pero cuando yo dije 'limpiar' (y lo puse entre comillas por una buena razón, porque no es exactamente limpiar) no me estaba refiriendo a filtrar el texto (que esto bien puede ser una mala forma de 'limpiar' input). Al decir yo limpiar, me estoy refiriendo a someter el input a un proceso que no permita una anomalía en la ejecución del código. Y 'limpiar' si que es una buena práctica.

Tampoco tienes que generalizar, filtrar texto se sigue haciendo. No como medida de seguridad pero si se sigue usando para los inputs.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 25 Septiembre 2014, 00:14 am

Gracias, acaba de armar algo y parece funcionar correcto, ¿veis algo mal? ¿es seguro?

index.php

Código

<?php
 
include_once 'themes/default/views/layouts/main.php';
 
$whitelist_home		= array("home");
$whitelist_site		= array("site/login", "site/logout", "site/contact", "site/about");
$whitelist_user		= array("user/register", "user/referral", "user/friend", "user/register_success");
 
if(in_array($_SERVER['QUERY_STRING'], $whitelist_home)) {
	if(in_array('views/'.(string)$_SERVER['QUERY_STRING'].'.php', glob('views/*.php'))) {
	$home = include('views/'.(string)$_SERVER['QUERY_STRING'].'.php');
	} else include('views/404.php');
} elseif(in_array($_SERVER['QUERY_STRING'], $whitelist_site)) {
	if(in_array('views/'.(string)$_SERVER['QUERY_STRING'].'.php', glob('views/site/*.php'))) {
	$content = include('views/'.(string)$_SERVER['QUERY_STRING'].'.php');
	} else include('views/404.php');
} elseif(in_array($_SERVER['QUERY_STRING'], $whitelist_user)) {
	if(in_array('views/'.(string)$_SERVER['QUERY_STRING'].'.php', glob('views/user/*.php'))) {
	$content = include('views/'.(string)$_SERVER['QUERY_STRING'].'.php');
	} else include('views/404.php');
}
 
if(!$_SERVER['QUERY_STRING']) {
	echo $home = include('views/home.php'); // Esta es la pagina que se muestra por defecto
}
 
if($_SERVER['QUERY_STRING'] == "home") {
	echo $home;
}elseif(in_array($_SERVER['QUERY_STRING'], $whitelist_site)) {
	echo $content;
}elseif(in_array($_SERVER['QUERY_STRING'], $whitelist_user)) {
	echo $content;
}else print_r(error_get_last());
 
?>

¿Hay algún problema si utilizo ese include_once (lo que uso actualmente para incluir paginas como functions.php) sin ningún if ni nada para mostrar una pagina (que es la base de la web) en el index.php?

Por alguna misteriosa razón justo despues del texto de home.php se añade un 1 sin espacio... ¿Que esta imprimiendo ese 1?

Aparte de que ese script de echos hay que mejorarlo, tiene que ir en el archivo main.php y cuando los he puesto han empezado los errores de variable no definida. Todo son problemas :)

Gracias!

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 25 Septiembre 2014, 05:19 am

Include devuelve 1 si la la inclusión es exitosa, si le haces echo a un include exitosa, este imprime 1. A menos que dentro de tus includes tengas un return, en ese caso el echo toma el valor del return.

El código de WHK está bien para validar todos los archivos de las carpetas. Si vas a trabajar con solo algunos archivos creo que es mejor si tienes una lista para tus includes.

e.g.

Código

<?php
 
$views = 'views/';
$site = $views . 'site/';
$user = $views . 'user/';
 
$includes = array(
	'home' => $views . 'home.php',
	'site/login' => $site . 'login.php',
	'site/logout' => $site . 'logout.php',
	'site/contact' => $site . 'contact.php',
	'site/about' => $site . 'about.php',
	'user/register' => $user . 'register.php',
	'user/referral' => $user . 'referral.php',
	'user/friend' => $user. 'friend.php',
	'user/register_success' => $user . 'register_success.php'
);
 
if(array_key_exists($_SERVER['QUERY_STRING'], $includes)){
	include($includes[$_SERVER['QUERY_STRING']]);
}
?>

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 25 Septiembre 2014, 12:47 pm

Necesito saber como darle un valor por defecto a la variable server, si lo hago asi no lee ningun input y siempre se muestra home...
index.php

Código

<?php
 
include_once 'themes/default/views/layouts/main.php';
 
$views = 'views/';
$site = $views . 'site/';
$user = $views . 'user/';
 
$_SERVER['QUERY_STRING'] = 'home'; // Alguna otra manera?
 
$includes = array(
	'home' => $views . 'home.php',
	'site/login' => $site . 'login.php',
	'site/logout' => $site . 'logout.php',
	'site/contact' => $site . 'contact.php',
	'site/about' => $site . 'about.php.php',
	'user/register' => $user . 'register.php',
	'user/referral' => $user . 'referral.php',
	'user/friend' => $user. 'friend.php',
	'user/register_success' => $user . 'register_success.php'
);
 
if(array_key_exists($_SERVER['QUERY_STRING'], $includes)) {
	$content = include($includes[$_SERVER['QUERY_STRING']]);
	return true;
} else include('views/404.php');
 
// Esto va en themes/default/views/layouts/main.php
/*
if(array_key_exists($_SERVER['QUERY_STRING'], $includes)) {
	echo $content;
}else print_r(error_get_last());
*/
?>

Ahora mismo, sin ningun echo $content se muestra igualmente el include, ¿por que?
¿Como hago para que no se muestre ningún include si no hay un echo?

Gracias.

Edito: Y a todo esto... si necesito hacer inputs en esas paginas, por ejemplo, antes era: login.php?error=1 y ahora como seria? porque ?site/login&error=1 no funciona

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 25 Septiembre 2014, 17:22 pm

Si hay funciones que impriman dentro de tus includes pues entonces esas funciones se van a ejecutar, porque así funcionan los includes().

Código

$content = include($file);

Se ejecuta $file y $content equivale 1.

Ahora si $file tiene:

Código

$html = '<HTML></HTML>';
return $html;

$content ahora tiene <HTML></HTML>.

En cuanto a porque tus rutas no funcionan, es porque estás usando $_SERVER['QUERY_STRING']...

Si tienes:

Citar

index.php?site/login&error=1

Código

$_SERVER['QUERY_STRING'];
//site/login&error=1 != site/login

Y no hace el include en site/login porque no hace match... $_SERVER['QUERY_STRING'] != site/login.

Puedes hacer:

Código

preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['QUERY_STRING'], $matches);
 
if(array_key_exists($matches[0], $includes)){

Debería hacer un match de la primera palabra en QUERY_STRING. Lo mejor sería manejar las variables GET por llave/valor.

Por ejemplo una url como:

Citar

index.php?do=home

Y en lugar de manejar $_SERVER['QUERY_STRING'] manejar $_GET['do'].

Yo digo que sería mejor tener una URL como:

Código:

http://sitio.com/site/login

En lugar de:

Código:

http://sitio.com/archivo.php?site/login

Código:

http://sitio.com/archivo.php?do=site/login

Y para eso puedes implementar un ruteador mejor y tener mas control sobre las urls, aunque tambien una simple regla de mod_rewrite basta.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 25 Septiembre 2014, 19:37 pm

Citar

Yo digo que sería mejor tener una URL como:

Código:

http://sitio.com/site/login

Esa era la idea en un principio, ahora mismo lo mas cercano a eso que tengo es:

Código:

www.sitio.com/?site/login

Y me gustaría poder hacer eso que comentas... ¿Podrias decirme como podria hacerlo con el mod_rewrite? Ya tengo un .htaccess preparado :)

Pero volviendo al otro problema, es posible hacer que el codigo actual solo lea hasta & y apartir se interprete como otra variable? Para poder hacer que funcione ?site/login&error=1

Gracias!

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 25 Septiembre 2014, 19:46 pm

Has considerado usar codeigniter?, o sea, si tu duda era solamente hacer un include seguro ya sabes, la lista blanca funciona de lujo pero si vas a hacer un sistema completo en base a ese tipo de inclusiones y códigos redundantes mejor usa uno estandarizado como codeigniter el cual lleva muchos años en el mismo tema, no necesitas reinventar la rueda, puedes tomarlo y ver el código fuente para saber como lo hacen y reutilizar el mismo código.

Si quieres te puedo mostrar un trozo de código de mi framework que hice hace muchos años el cual funciona con includes muy similar al tuyo pero es un poco mas flexible, por ejemplo puedes llamar a
/modulo/submodulo/accion.html?parametros=
y se incluye el archivo correspondiente a cada módulo y submódulo, es mas, soporta multiples niveles, puedes llamar a 5 submodulos si quieres una dentro de otra carpeta y todo en base a una lista blanca para prevenir problemas de seguridad, dale un vistazo para que saques algunas ideas:

Código

<?php
/* CORE - FDC 4.5 - yan.uniko.102@gmail.com, 2009 */
/* Verifica que el archivo no se visualize de forma directa */
if($_SERVER['SCRIPT_FILENAME'] == __file__) exit;
 
$sistema = new sistema();
 
class sistema{
	var $navegador				= null;
	var $modulosSeleccionables 	= null;
	var $contenidoHtml			= '';
 
	function __construct(){
		/* Carga las configuraciones iniciales */
		include(dirname(__file__).'/configuraciones.php');
		$this->conf	= new configuraciones();
 
		/* Verifica coherencias en las configuraciones */
		if(
			isset($this->conf->perfilamiento['habilitado']) and
			$this->conf->perfilamiento['habilitado']
		){
 
			/* La clase de usuario no funciona sin una base de datos activa */
			if(
				(!isset($this->conf->mysql['autoCargar'])) or
				(!$this->conf->mysql['autoCargar'])
			)
				return die('
					Imposible iniciar el sistema de perfilamiento sin iniciar 
					una conecci&oacute;n por defecto a la base de datos.
				');
		}
 
		/* Previene el robo de la cookie de sesión vía XSS */
		$cookieSesion = session_get_cookie_params();
		session_set_cookie_params($cookieSesion['lifetime'], $cookieSesion['path'], $cookieSesion['domain'], $cookieSesion['secure'], true);
		unset($cookieSesion);
 
		$this->cargarLibreria('error');
		$this->cargarLibreria('str');
		$this->cargarLibreria('cabeceras');
		$this->cargarLibreria('logs');
		$this->cargarLibreria('ids');
		$this->cargarLibreria('driver_obj');
 
		$this->cabeceras->establecerTipo('text/html');
 
		/* Carga la conexión MySQL por defecto */
		if(
			isset($this->conf->mysql['autoCargar']) and 
			($this->conf->mysql['autoCargar'])
		){
			$this->cargarLibreria('mysql');
			if(!$this->mysql->conectar(
				$this->conf->mysql['host'], 
				$this->conf->mysql['usuario']['nombre'], 
				$this->conf->mysql['usuario']['clave'], 
				$this->conf->mysql['baseDeDatos'],
				$this->conf->mysql['codificacion'], 
				$this->conf->desfaceGMT['mysql']
			))
				return die($this->mysql->error->ultimo('msg'));
		}
 
		/* Realiza la autocarga de la sesión de usuario */
		if($this->conf->perfilamiento['habilitado']){
 
			/* Carga la librería necesaria */
			$this->cargarLibreria('usuario');
 
			/* Carga la sesión de usuario por defecto via sesión de cookie */
			$this->usuario->perfilarViaCookie();
 
			/* Reinicia cualquier error de carga fallida */
			$this->usuario->error->reiniciar();
 
			/* Guarda sesiones temporales solo para usuarios logueados para prevenir una 
			sobrecarga durante un ataque de DDOS o ataque distribuido */
			if($this->usuario->perfilado)
				session_start();
		}
 
		$this->detectaAgenteDeUsuario();
 
		/* Carga las autocargas antes de cargar cualquier otra cosa (librerias 
		adicionales, módulos, etc) */
		$this->establecerAutocargas('pre');
 
		/* Verifica la integridad del contexto actual en tema de 
		 * seguridad e intrusión no concentida */
		$this->ids->iniciar();
 
		$this->contenidoHtml = array(
			'cabecera'	=> '',
			'modulo'	=> array()
		);
 
		/* Obtiene las configuraciones del archivo de configuraciones del template
		antes de llamar a los módulos */
		if($this->conf->template['habilitado']){
 
			/* Existe el template? */
			if(!file_exists($this->conf->rutas['template']['local'].'index.php'))
				return die('El Template seleccionado no existe.');
 
			/* El archivo de configuraciones existe? */
			if(!file_exists($this->conf->rutas['template']['local'].'config.php'))
				return die('La configuración del Template no existe.');
 
			/* Obtiene las configuraciones del template */
			include($this->conf->rutas['template']['local'].'config.php');
		}
 
		$this->cargaModulos();
 
		$this->establecerAutocargas('pos');
 
		/* Muestra el contenido final entre el módulo y el template */
 
		/* Muestra la carga de todos los módulos en orden coorelativo */
		$this->contenidoHtml['modulo'] = implode('', $this->contenidoHtml['modulo']);
 
		if($this->conf->template['habilitado'])
			include($this->conf->rutas['template']['local'].'index.php');
		else
			echo $this->contenidoHtml['modulo'];
 
		/* Cierra la conexión MySQL */
		if(is_object($this->mysql))
			$this->mysql->cerrar();
 
		/* Final de la ejecución */
	}
 
	function detectaAgenteDeUsuario(){
 
		/* Valores por defecto */
		$this->navegador = array(
			'nombre'	=> '',
			'version'	=> '',
			'ie<=8'		=> false,
			'soportaHTML5'	=> false /* ie >= 9 && * */ 
		);
 
		/* Detecta el motor del agente de usuario */
		preg_match_all(
			'#(?<navegador>'.join('|', array('msie', 'firefox', 'safari', 'webkit', 'opera', 'netscape', 'konqueror', 'gecko')).')[/ ]+(?<version>[0-9]+(?:\.[0-9]+)?)#', 
			strtolower($_SERVER['HTTP_USER_AGENT']), 
			$navegador
		);
 
		if($navegador['navegador'][0]){
			$ieTrident = false;
			if(strtolower(trim($navegador['navegador'][0])) == 'msie'){
				if(count(explode('.', $navegador['version'][0])) > 1){
					$mVersion = explode('.', $navegador['version'][0]);
					if((int)$mVersion[0] < 9){ /* ie<=8 */
						$ieTrident = true;
					}
 
				}
			}
			$this->navegador = array(
				'nombre'		=> strtolower(trim($navegador['navegador'][0])),
				'version'	=> trim($navegador['version'][0]),
				'ie<=8'		=> $ieTrident, /* ie<=8 */
				'soportaHTML5'	=> ($ieTrident ? false : true) /* ie>=9&&* */ 
			);
			unset($navegador, $ieTrident);
		}
	}
 
	function cargarLibreria($namespace, $nuevo = false, $parametros = null){
		/* Incluye el archivo de la librería una sola ves para hacer uso de el las veces 
		que sea necesario */
		include_once($this->conf->rutas['librerias']['local'].$namespace.'.php');
 
		if($nuevo){			
			$libreria = new $namespace($parametros);
 
			if(!$libreria->sys)
				$libreria->sys = $this; /* Librería recursiva */
 
			/* Libreria por defecto sin recursividad */
			if(
				($namespace != 'error') and 
				(!$libreria->error)
			)
				$libreria->error = $this->cargarLibreria('error', true);
 
			/* Retorna la librería cargada */
			return $libreria;
 
		}else{
			/* El objeto ya existe? */
			if(is_object($this->$namespace))
				return $this->$namespace;
 
			$this->$namespace = new $namespace($parametros);
 
			if(!$this->$namespace->sys)
				$this->$namespace->sys = $this; /* Librería recursiva */
 
			/* Libreria por defecto sin recursividad */
			if(
				($namespace != 'error') and 
				(!$this->$namespace->error)
			)
				$this->$namespace->error = $this->cargarLibreria('error', true);
 
			/* Retorna la librería cargada */
			return $this->$namespace;
		}
	}
 
	function establecerAutocargas($prefijo){
		/* Procesa archivos */
		if($archivos = glob($this->conf->rutas['autocargas']['local'].$prefijo.'*.php'))
			foreach($archivos as $archivo)
				include_once($archivo);
		unset($archivos);
 
		/* Procesa directorios */
		if($archivos = glob($this->conf->rutas['autocargas']['local'].$prefijo.'*/index.php'))
			foreach($archivos as $archivo)
				include_once($archivo);
		unset($archivos);
	}
 
	function obtieneModulosSeleccionables($base = false){
		/* Crea la base de la búsqueda */
		if(!$base)
			$base = $this->conf->rutas['modulos']['local'];
 
		$mods = array();
 
		/* Va en busca de los módulos */
		foreach(glob($base.'*/index.php') as $file){
			$mod = explode('/', $file);
			if($mod = $mod[count($mod) - 2])
				$mods[] = $mod;
			unset($mod, $file);
		}
 
		/* Hay módulos? */
		if(!$mods)
			return array();
 
		/* Arreglo contenedor de la totalidad de las secciones a devolver */
		$totalMods = array();
 
		/* Va en busca de los submódulos de forma recursiva */
		foreach($mods as $mod){
			$totalMods[] = $mod;
 
			/* Tiene submódulos? */
			if(is_dir($base.$mod.'/submodulos')){
 
				/* Va en busca de los submódulos */
				if($submods = array_filter($this->obtieneModulosSeleccionables($base.$mod.'/submodulos/'))){
 
					/* Procesa cada submódulo */
					foreach($submods as $submod){
						$totalMods[] = $mod.'/'.$submod;
						unset($submod);
					}
					unset($submods);
				}
			}
			unset($mod);
		}
		unset($mods, $base);
 
		/* Devuelve todas las secicones seleciconables del directorio en contexto */
		return (array)array_filter($totalMods);
	}
 
	function cargaModulos(){
		/* Estructura de directorios :
 
		Modules [dir]
			module-1
				index.php <- main
				assets
					style.css <- automatico
					print.css <- automatico
					script.js <- automatico
					images
						a.jpg
						b.jpg
				submodulos
					submodulo-1.1
						index.php <- main
						assets
						images
						submodulos
							submodulo-1.1.1
							submodulo-1.1.2
								submodulos
									submodulos
										submodulos
											...
					submodulo-1.2
						...
			module-2
				...
		*/
 
		$rutaInfo = '';
 
		/* Determina el módo en que se obtendrán los módulos */
		if(isset($_SERVER['PATH_INFO']))
			$rutaInfo = trim((string)$_SERVER['PATH_INFO'], '/');
 
		elseif(isset($_SERVER['ORIG_PATH_INFO']))
			$rutaInfo = trim((string)$_SERVER['ORIG_PATH_INFO'], '/');
 
		else
			$rutaInfo = trim((string)$this->conf->moduloPrincipal, '/');
 
		/* Extirpa los nombres de archivos terminados en .html para dar información a la URL 
		canonizada, por ejemplo: http://localhost/usuarios/resumen/juan-lobos.html?id=18 la ruta 
		de información será: usuarios/resumen */
		if(substr(strtolower($rutaInfo), -5) == '.html')
			$rutaInfo = substr($rutaInfo, 0, strrpos($rutaInfo, '/'));
 
		/* Crea un mapa con las posibles secciones para prevenir el LFI o el Path Traversal */
		if(!$this->modulosSeleccionables = $this->obtieneModulosSeleccionables())
			die('No hay secciones establecidas en el sistema para cargar');
 
		/* Existe la ruta seleccionada? (Control derivado desde la solicitud del navegador) */
		if(!in_array($rutaInfo, $this->modulosSeleccionables))
			return $this->cargarModulo('estado', array('get' => array('id' => 404, 'msg' => 'La sección solicitada no existe')));
 
		/* Transforma la ruta de información a objeto array ordenado */
		if(strpos($rutaInfo, '/') !== false)
			/* Ruta compuesta por submódulos */
			$rutaInfo = array_filter((array)explode('/', $rutaInfo));
		else
			/* Sin submódulos */
			$rutaInfo = array($rutaInfo);
 
		/* Establece el contexto, por ejemplo principal/submodulo/submodulo/submodulo */
		$this->conf->modulo['contextoCompleto']	= implode('/', $rutaInfo);
 
		/* Token verificador para prevenir que siga cargando los submódulos si un módulo retornó con la inclusión de un nuevo módulo. */
		$idModulo = 0; 
		$relativo = array();
 
		/* Procesa cada sección necesitada */
		foreach($rutaInfo as $modulo){
			if(count($this->conf->modulo['contextoHistorial']) > (int)$idModulo)
				break;
 
			/* Contexto actual */
			$relativo[] = $modulo;
 
			$this->cargarModulo(implode('/', $relativo));
 
			$idModulo++;
		}
	}
 
	function cargarModulo($rutaInfo, $variablesHTTP = null){
 
		/* Existe la ruta seleccionada? (Control derivado desde un módulo o librería) */
		if(!in_array($rutaInfo, $this->modulosSeleccionables))
			return $this->cargarModulo('estado', array('get' => array('id' => 404, 'msg' => 'La sección solicitada no existe')));
 
		/* Compone las variables via HTTP GET y POST */
		if($variablesHTTP){
			if(isset($variablesHTTP['get']))
				$_GET  = array_filter(array_merge($_GET, $variablesHTTP['get']));
 
			if(isset($variablesHTTP['post']))
				$_POST = array_filter(array_merge($_POST, $variablesHTTP['post']));
 
			unset($variablesHTTP);
		}
 
		/* Limpia la ruta de información */
		$rutaInfo = trim(trim($rutaInfo), '/');
 
		/* Compone la ruta real */
		$rutaReal = array(
			'local'		=> $this->conf->rutas['modulos']['local'].str_replace('/', '/submodulos/', $rutaInfo).'/',
			'remoto'	=> $this->conf->rutas['modulos']['enlace'].str_replace('/', '/submodulos/', $rutaInfo).'/',
			'enlace'	=> $this->enlace($rutaInfo)
		);
 
		/* Obtiene el identificador del módulo final */
		if(strpos($rutaInfo, '/') !== false){
			$idModulo = explode('/', $rutaInfo);
			$idModulo = $idModulo[count($idModulo) - 1];
		}else
			$idModulo = $rutaInfo;
 
		/* Obtiene los datos del último módulo */
		$this->conf->modulo['actual'] = array(
			'id'		=> $idModulo,
			'rutaInfo'	=> $rutaInfo,
			'titulo'	=> '', /* Se establecerá dentro del módulo de manera opcional */
			'rutas'		=> $rutaReal
		);
 
		/* Establece el historial de secciones llamadas (útil para crear menus de navegación) */
		$this->conf->modulo['historial'][]			= $this->conf->modulo['actual'];
		$this->conf->modulo['contextoHistorial'][]	= $this->conf->modulo['actual']['rutaInfo'];
 
		/* Elimina todo contenido anterior al módulo */
		$b = ob_get_contents();
		unset($b);
		ob_end_clean();
 
		/* Inicia el capturado del contenido del módulo */
		ob_start();
 
		/* Incluye la sección */
		include_once($rutaReal['local'].'index.php');
 
		/* Obtiene el contenodo del módulo */
		$this->contenidoHtml['modulo'][] = ob_get_contents();
		ob_end_clean();
 
		/* Incluye dependencias de forma automática (evita tener que declararlas en cada sección) */
		if(file_exists($rutaReal['local'].'/assets/script.js'))
			$this->contenidoHtml['cabecera'] .= 
				'<script type="text/javascript">'."\n".
				"/*\nIncluido automáticamente desde \n".$rutaReal['remoto']."assets/script.js\n*/\n\n".
				file_get_contents($rutaReal['local'].'assets/script.js')."\n".
				'</script>'."\n";
 
		if(file_exists($rutaReal['local'].'/assets/style.css'))
			$this->contenidoHtml['cabecera'] .= 
				'<style type="text/css" media="all">'."\n".
				"/*\nIncluido automáticamente desde \n".$rutaReal['remoto']."assets/style.css\n*/\n\n".
				file_get_contents($rutaReal['local'].'assets/style.css')."\n".
				'</style>'."\n";
 
		if(file_exists($rutaReal['local'].'/assets/print.css'))
			$this->contenidoHtml['cabecera'] .= 
				'<style type="text/css" media="print">'."\n".
				"/*\nIncluido automáticamente desde \n".$rutaReal['remoto']."assets/print.css\n*/\n\n".
				file_get_contents($rutaReal['local'].'assets/print.css')."\n".
				'</style>'."\n";
 
		/* Actualiza los datos establecidos por el módulo */
		$this->conf->modulo['historial'][count($this->conf->modulo['historial']) - 1] = $this->conf->modulo['actual'];
	}
 
	function enlace($rutaInfo = null, $parametros = null, $informacion = null){
		$ruta = $this->conf->rutas['base']['enlace'];
 
		/* Si no hay ruta lo enlaza al directorio raiz */
		if($rutaInfo)
			$ruta .= trim($rutaInfo, '/').'/';
 
		/* Archivo .html que se mostrará al final de la ruta del enlace */
		if($informacion)
			$ruta .= urlencode($this->str->toFriendlyUrl($informacion)).'.html';
 
		/* Parámetros vía HTTP GET */
		if($parametros)
			$ruta .= '?'.$parametros;
 
		return $ruta;
	}
 
	function redireccionaEnlace($rutaInfo = null, $parametros = null, $informacion = null){
		return $this->cabeceras->redireccionaUrl($this->enlace($rutaInfo, $parametros, $informacion));
	}
}

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 25 Septiembre 2014, 20:01 pm

Cita de: MinusFour en 25 Septiembre 2014, 17:22 pm

preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['QUERY_STRING'], $matches);

if(array_key_exists($matches[0], $includes)){

Talves ese código pueda ser vulnerable a un RE-DOS (denial of service in Expression Regular), por ejemplo tienes una llamada redundante si te escribo esta url:

demo/index.php/////////////// ... //////////////?&======&=&=&=&&&&&&&&&&& ...

Tu expresión puede causar que retorne nulo o que la función arroje alugn tipo de excepción especialmente por el array_key_exists ya que $matches[0] no existiría y puedes provocar un agujero de tipo path disclosure.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 25 Septiembre 2014, 21:24 pm

Cita de: WHK en 25 Septiembre 2014, 20:01 pm

Talves ese código pueda ser vulnerable a un RE-DOS (denial of service in expression Regular), por ejemplo tienes una llamada redundante si te escribo esta url:

demo/index.php/////////////// ... //////////////?&======&=&=&=&&&&&&&&&&& ...

Tu expresión puede causar que retorne nulo o que la función arroje alugn tipo de excepción especialmente por el array_key_exists ya que $matches[0] no existiría y puedes provocar un agujero de tipo path disclosure.

Pues a mi esas urls no me tiran ningun problema, incluso tirando URLs enormes. ¿En que parte de mi REGEX dices que puede haber una redundancia?

Si el OP se siente a disgusto con mi REGEX, pues se puede hacer otra cosa como:

Código

foreach ($includes as $key => $val){
	if(preg_match("@^$key@", $_SERVER["QUERY_STRING"])){
		echo $val;
	}
}

Y si el indice 0 no existe, devuelve un notice pero array_key_exists devuelve false así que lo que ponga dentro del bloque nunca llega a ejecutarse y array_key_exists no devuelve ninguna excepción, error, notice o warning.

De todas formas, es buena idea comprobar si el valor existe, solo por si algunas otras versiones de PHP se comportan de otra manera.

Cita de: gAb1 en 25 Septiembre 2014, 19:37 pm

Esa era la idea en un principio, ahora mismo lo mas cercano a eso que tengo es:

Código:

www.sitio.com/?site/login

Ok, tenía un pequeño error con el $match, pero esto debería regresar la primera palabra antes del =&.

Código

$views = 'views/';
$site = $views . 'site/';
$user = $views . 'user/';
 
$time = microtime(true);
 
$includes = array(
	'home' => $views . 'home.php',
	'site/login' => $site . 'login.php',
	'site/logout' => $site . 'logout.php',
	'site/contact' => $site . 'contact.php',
	'site/about' => $site . 'about.php',
	'user/register' => $user . 'register.php',
	'user/referral' => $user . 'referral.php',
	'user/friend' => $user. 'friend.php',
	'user/register_success' => $user . 'register_success.php'
);
 
preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['QUERY_STRING'], $matches);
$matches[1] = isset($matches[1]) ? $matches[1] : null;
 
if(array_key_exists($matches[1], $includes)){
	echo $includes[$matches[1]];
 
}

En cuanto a lo del ruteador, ya es preferencia si eliges crearte tu propio ruteador o usar el de otros. No necesitas cargarte todo un framework para implementar un ruteador, puedes usar por ejemplo una libreria:

https://github.com/dannyvankooten/PHP-Router

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 25 Septiembre 2014, 23:03 pm

@WHK Gracias, el proyecto actual tengo pensado hacer algo ligero, nada de frameworks o librerias. Ademas de que hacer la web de 0 me ayudara a ganar experiencia en este lenguaje. Pero si no te importa me guardo el codigo, seguramente vaya a necesitarlo para algo más grande :)

Siempre y cuando lo que vaya hacer en la web no requiera nada externo como librerias o plugins, y de momento no es necesario.

@MinusFour Gracias a ti tambien por las molestias! Por cierto, ¿para que es la variable $time que has puesto en el codigo? Se te habia olvidado poner la funcion include() al final, pero ya esta todo funcionando! :D

Código

function showContent() {
	$views						= 'views/';
	$site						= $views . 'site/';
	$user						= $views . 'user/';
 
	//$time = microtime(true);       // Para que sirve esto??
 
	//$_SERVER['QUERY_STRING'] = 'home';   // Como hago para mostrar home aunque no se haga un input??
 
	$includes = array(
		'home' => $views . 'home.php',
		'site/login' => $site . 'login.php',
		'site/logout' => $site . 'logout.php',
		'site/contact' => $site . 'contact.php',
		'site/about' => $site . 'about.php',
		'user/register' => $user . 'register.php',
		'user/referral' => $user . 'referral.php',
		'user/friend' => $user. 'friend.php',
		'user/register_success' => $user . 'register_success.php'
	);
 
	preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['QUERY_STRING'], $matches);
	$matches[1] = isset($matches[1]) ? $matches[1] : null;
 
	if(array_key_exists($matches[1], $includes)){
	$content = include($includes[$matches[1]]); 
	return $content;
	} else print_r(error_get_last());
}

Y dentro de main.php simplemento llamo a la función showContent() aunque he tenido que incluir index.php Y seguro que se puede arreglar la manera de hacerlo... hehehe

Código

<?php
$path = $_SERVER['DOCUMENT_ROOT'];
$path .= "/index.php";
include_once($path);
showContent();
?>

Y todavia estoy tratando de averiguar como hacer que home sea lo que se muestra cuando no hay un input: index.php incluye main.php y este home.php.

Gracias!

Edito: Estoy algo espeso... con la solución delante todo el tiempo y no la veia :P

Código

if(!$_SERVER['QUERY_STRING'])
    $_SERVER['QUERY_STRING'] = 'home';

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 25 Septiembre 2014, 23:28 pm

La variable $time, la estaba usando para hacer pruebas, al final volvia a hacer microtime() y restaba para saber cuanto tardaba en ejecutar el código.

¿Te refieres a cargar la ruta home cuando QUERY_STRING este vacio?

Código

if(array_key_exists($matches[1], $includes)){
	$content = include($includes[$matches[1]]); 
	} elseif (empty($_SERVER['QUERY_STRING'])){
        $content = include($includes['home']);
        } else {
        $content = "Error 404";
        }
return $content;

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 25 Septiembre 2014, 23:30 pm

Y volviendo a lo de las rutas de enlace, ¿seria muy dificil con el codigo actual no necesitar "?" para llamar una pagina?

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 25 Septiembre 2014, 23:46 pm

Cita de: gAb1 en 25 Septiembre 2014, 23:30 pm

Y volviendo a lo de las rutas de enlace, ¿seria muy dificil con el codigo actual no necesitar "?" para llamar una pagina?

No es díficil, lo que hacen casi todos los ruteadores de los scripts/frameworks famosos como Wordpress, Joomla, Symfony, Zend, etc. Es redirigir todas las direcciones a un archivo de entrada (por medio de mod_rewrite) y luego parsean la dirección y despliegan el recurso necesario.

Por ejemplo:

Código:

http://pagina.com/hola
http://pagina.com/categoria
http://pagina.com/test

Por medio de un mod_rewrite haces que todas las urls redirigan a entry.php por ejemplo.

Desde el entry.php tu puedes manejar las urls y desplegar la información de acuerdo al REQUEST_URI.

Código

 
if($_SERVER['REQUEST_URI'] == '/hola'){
   //Muestra el contenido de http://pagina.com/hola
} elseif($_SERVER['REQUEST_URI'] == '/categoria') {
  //Muestra el contenido de http://pagina.com/categoria
} else {
  //Ruta no econtrada: error 404
}

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 25 Septiembre 2014, 23:48 pm

Codeigniter es el framework mas robusto y liviano que existe, las paginas se ejecutan en 0.001 segundos aprox y no tienes que preocuparte por estas cosas.

De todas formas el proyecto es tuyo y tu sabes que haces con el.

Si no quieres usar "?" puedes pasar los parámetros así: index.php/parametros/test de todas formas codeigniter también hace eso para el seo y los permalinks y el codigo de ejemplo que te di tambien lo hace.

Código

if(isset($_SERVER['PATH_INFO']))
			$rutaInfo = trim((string)$_SERVER['PATH_INFO'], '/');
 
		elseif(isset($_SERVER['ORIG_PATH_INFO']))
			$rutaInfo = trim((string)$_SERVER['ORIG_PATH_INFO'], '/');

Después ocultas el index.php con un htaccess y no necesitas crear reglas raras via htaccess como lo hace wordpress o joomla. Te ahorras tener que tocar esos archivos cada ves que tengas secciones nuevas.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 26 Septiembre 2014, 01:06 am

Cita de: WHK en 25 Septiembre 2014, 23:48 pm

Te ahorras tener que tocar esos archivos cada ves que tengas secciones nuevas.

No necesitas tocar los .htaccess para nada, con las reglas por default de wordpress te bastan. El ruteador hace todo por tí.. y las reglas del mod_rewrite pueden ser tan sencillas como:

Código

DirectoryIndex entry.php
 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^entry\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /entry.php [L]
</IfModule>

Y no necesitas modificar tus rutas para nada en el .htaccess, las modificas en el archivo entry.php

Código

<?php
 
$string = $_SERVER['REQUEST_URI'];
 
if($string == '/hola'){
	echo 'hey';
}
elseif($string == '/test'){
	echo 'test';
}
elseif($string == '/hey'){
	echo 'hrm';
}
elseif($string == '/'){
	echo 'home';
} else {
	echo 'Error 404';
}
 
?>

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 26 Septiembre 2014, 01:49 am

Vaya, dos maneras diferentes... Me gustaría probar las dos para ver que tal, pero tengo algunas dudas:

1º ¿Donde tengo que poner este codigo? Perdonar mi ignorancia :P

Código

    if(isset($_SERVER['PATH_INFO']))
    $rutaInfo = trim((string)$_SERVER['PATH_INFO'], '/');
 
    elseif(isset($_SERVER['ORIG_PATH_INFO']))
    $rutaInfo = trim((string)$_SERVER['ORIG_PATH_INFO'], '/');

2º El metodo redirigiendo a entry.php, que pasa en el caso de usar un archivo.php que existe para usar un link? Por ejemplo, si test.php existe y escribo test.php/site/login: daria error, no?

Porque cualquier cosa que escribas se redirige a entry.php y se compara con la lista? O solo se compara lo que hay despues de ?, o de esta manera se compara todo lo que escribas despues de la url? awww.site.com/'---> a partir de aqui se compara todo?

Volvemos a lo de antes, que pasa con las variables como login.php?error=1?? se seguirian ejecutando? site.com/site/login&error=1?

Gracias!

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 26 Septiembre 2014, 02:11 am

Si test.php existe y escribes test.php/site/login, se ejecuta test.php, pero el URI cambia, ya no es /site/login ahora es /test.php/site/login. Claro que si tu script no está leyendo el URI o el path, no afecta en nada.

Para el queryString puede ser un problema, porque no hace un match exacto con la ruta. PATH_INFO sería una solución más adecuada si quieres conservar el QueryString o hacer alguna manipulación de texto con el REQUEST_URI. También puedes optar por "reescribir" tu queryString dentro de una ruta.

Por ejemplo:

Código:

/site/login/error/1

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 26 Septiembre 2014, 02:29 am

¿Por que no funciona esto?

Código

	preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['REQUEST_URI'], $matches);
	$matches[1] = isset($matches[1]) ? $matches[1] : null;

Es más complicado de lo que parece porque index.php es lo que llama la estructura y esta llama los views. Si se cambia de pagina ya no funcionaria...

Lo intento de ese modo porque me gustaría tener el tipo de links -> site.com/site/login&error=1 y que funcionara.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 26 Septiembre 2014, 02:46 am

Cita de: gAb1 en 26 Septiembre 2014, 02:29 am

¿Por que no funciona esto?

Código

	preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['REQUEST_URI'], $matches);
	$matches[1] = isset($matches[1]) ? $matches[1] : null;

Te refieres a:

Código:

site.com/site/login?error=1

No te va a funcionoar el regex.

Código

$_SERVER['REQUEST_URI']

tiene un valor de

Código:

/site/login?error=1

Lo que podrías hacer es algo como lo que puse antes:

Código

foreach ($includes as $key => $val){
	if(preg_match("@^/$key@", $_SERVER["REQUEST_URI"])){
		include $val;
	}
}

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 26 Septiembre 2014, 04:34 am

Lo siento fallo mio, si que funcionaba, se me olvido el .htaccess

Lo unico es que en lugar de entry.php uso index.php.

Código

function showContent() {
	$views						= 'views/';
	$site						= $views . 'site/';
	$user						= $views . 'user/';
 
	if($_SERVER['REQUEST_URI'] == '/')
		$_SERVER['REQUEST_URI'] = '/home';
 
	$includes = array(
		'/home'					=> $views . 'home.php',
		'/login'				=> $site . 'login.php',
		'/logout'				=> $site . 'logout.php',
		'/contact'				=> $site . 'contact.php',
		'/about'				=> $site . 'about.php',
		'/register'				=> $user . 'register.php',
		'/referral'				=> $user . 'referral.php',
		'/friend'				=> $user . 'friend.php',
		'/register_success'			=> $user . 'register_success.php'
	);
 
	preg_match('/^([\w\/]+)=?(\w+)?&?/', $_SERVER['REQUEST_URI'], $matches);
	$matches[1] = isset($matches[1]) ? $matches[1] : null;
 
	if(array_key_exists($matches[1], $includes)){
		$content = include($includes[$matches[1]]); 
	} else $content = "Error 404";
	return $content;
}

Y efectivamente los links son: site.com/login?error=1

Al final de la manera mas simple posible, directamente el nombre del archivo, sin carpeta.

¿Podrías decirme alguna manera de comprobar si es vulnerable? Como por ejemplo lo de poner una larga cadena de caracteres y crear agujeros de esos. ¿O no se puede si hay una whitelist?

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 26 Septiembre 2014, 05:10 am

Bueno, la expresión regular si te va a capturar la parte que necesitas, pero lo demás realmente es innecesario. De hecho, ahora que me pongo a pensar un poco en mi expresión, realmente no necesitas el "?=(\w+)?&?' para nada, está de más.

También podrias adaptar la expresión regular para que funcione através del archivo.php. Como lo tienes ahora:

Código:

http://www.site.com/inicio
//Funciona

http://www.site.com/index.php/inicio
//No funciona

Título: Re: crear enlaces seguros para las paginas php
Publicado por: gAb1 en 26 Septiembre 2014, 05:38 am

¿Te refieres a que funcionen los links con el index.php? Si es eso, es justo lo que no queria, usar nombres completos, el objetivo era este, con un simple nombre sin extension llamar la pagina.

Asi tal cual lo tengo funciona perfectamente.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: JorgeEMX en 29 Septiembre 2014, 06:15 am

Sería más simple irse por lo que debería ser que estar evitando lo que no. Como se supone que debería de ser es, cualquier inclusión que se vaya hacer se parte de un directorio padre y común para iniciar. A éste directorio padre lo único que podría incluir es un archivo o más directorios, y archivos. Por regla general, los nombres de estos archivos y directorios sólo puede ser nombrados por letras de la A-Z y por mucho usar - y _ (/ para delimitar directorios). Cualquier otro carácter se omite y se parte de ahí para incluir cualquier cosa hacía adelante del directorio padre (nunca hacía atrás y mucho menos de algún otro origen que no sea el sistema de ficheros actual). Esto pensando que el "ruteo" sea del tipo /uno/dos/tres. Después sólo bastaría confirmar que el archivo exista.

Una disculpa si no pongo un ejemplo pero sólo paso por acá un rato y ya es de noche (me estoy haciendo viejo). Lo que es cierto es que ya hay bastante proyectos robustos que serían fácil de implementar y evitar reinventar la rueda como bien te comentaron.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: WHK en 29 Septiembre 2014, 14:03 pm

Citar

Sería más simple irse por lo que debería ser que estar evitando lo que no. Como se supone que debería de ser es

Permitir solo de la A a la Z mas - y _ no es irse por lo que debería ser, de hecho te contradices en parte ya que con ese filtro te estás saliendo de norma, que tal si una carpeta se llama por ejemplo admin.mensajes ? según tu modelo dejará de funcionar. Tanto en los sistemas Unix como Linux y Windows tienen diferentes estándares en cuanto a que carácter es permitido como nombre de carpeta y nombre de archivo, por lo cual si tu haces un desarrollo no estandarizado omitiendo caracteres que si están permitidos por el sistema entonces dejará de ser una aplicación escalable ya que otros desarrolladores o el mismo administrador del sistema no podrá utilizar el sistema de archivos común del mismo sistema operativo. Recuerda que un directorio o archivo puede incluir incluso caracteres como acentos, espacios en blanco, puntos, signos especiales, paréntesis, arrobas, etc.

Bajo este contexto mi modelo es el mas eficiente porque cumple con todos los estándares de posibles reales carpetas y archivos bajo una lista blanca como únicos permitidos y sin la necesidad de tener que modificar el código si agregas secciones nuevas, tampoco usa expresiones regulares, o sea, usa menos memoria, menos cpu, menos lineas de código, no es vulnerable, o sea tal como dijiste tu, irse por lo que debería ser en ves de estar evitando lo que no es, no se porque aun le dan tantas vueltas al tema buscando opciones menos inseguras, mas pesadas y con problemas de seguridad.

Título: Re: crear enlaces seguros para las paginas php
Publicado por: JorgeEMX en 29 Septiembre 2014, 15:41 pm

Cita de: WHK en 29 Septiembre 2014, 14:03 pm

Te doy la razón y por eso dije algo como:

Cita de: JorgeEMX en 29 Septiembre 2014, 06:15 am

Esto pensando que el "ruteo" sea del tipo /uno/dos/tres.

Y el creador del tema si quiere algo en especifico y no algo tan flexible que vaya a exponer como público para la comunidad. Si tú script funciona con la misma lógica pero siendo más flexible entonces también ya lo tiene hecho.

Saludos

Título: Re: crear enlaces seguros para las paginas php
Publicado por: MinusFour en 29 Septiembre 2014, 16:14 pm

Las rutas no necesitan seguir las convenciones de nombrado del sistema de archivos unix o win. Las URIs se apegan a: http://tools.ietf.org/html/rfc3986 y tecnicamente no necesita usarse REGEX, con un simple strpos le bastaría, pero así no tiene que estar ciclando por todo el arreglo.

Foro de elhacker.net

Programación => PHP => Mensaje iniciado por: gAb1 en 24 Septiembre 2014, 13:16 pm