Portada | Monotemáticos | Secciones | Desarrolladores | Comunidad | Servicios | Servicios profesionales | RSS
Desde 0 | HTML | CSS | ASP | PHP | AJAX | Javascript | Promoción de webs | Rentabilidad de webs
Directorio | Manuales | Scripts | FAQs | Programas | Artículos Copyleft | Actualidad | La Cosecha | Colabora
Registrarse | Vuestras páginas | Foros del web | Lista de correo | Boletín de novedades
Generador METAs | Compras | Busca cursos
Alojamiento | Dominios.es | Micropagos SMS | Buscadores | Patentes, marcas | Creación web | Multimedia | Videos
Desarrollo Freelance | Buscar proyectos | Buscar profesionales | Solicitar desarrollo

register_globals y seguridad en PHP

El hecho de cambiar register_globals a modo "on" , ¿Como puede ser afectada la seguridad?

La FAQ register_globals y seguridad en PHP tiene Pertenece a la categoría:


 Respuesta de Miguel Angel Alvarez  17/2/03 
Si las variables que llegan por un formulario se declaran automáticamente en la página podría ocurrir que un visitante "avispado" modificase a mano la lista de variables pasadas por la URL con intención de crear alguna variable necesaria para realizar algún tipo de acción, posiblemente no autorizada, en nuestro sitio web.

No se si la idea queda clara, pero en el supuesto de que nosotros estuviéramos utilizando una variable de sesión, llamada autorizado y con valor “si”, para saber si un usuario se ha autentificado correctamente, un posible atacante podría introducirla a través de la URL.

www.tudominio.com/pagina.php?autorizado=si

El tema es que, por motivos de seguridad, se recomienda acceder a cada variable de servidor (Variables de sesión, de fomularios, pasadas en la URL, etc.) indicando las vías por las que ha sido declarado, por ejemplo:

HTTP_POST_VARS
HTTP_GET_VARS …

Aunque a partir de determinada versión de PHP se puede acceder también por las abreviaciones:

_GET
_SESSION
_COOKIE
...

Complementar la respuestaComplementar la respuesta
Volver al árbol de categoríasVolver al árbol de categorías

 Comentarios sin revisar
Entre los comentarios no revisados puede haber algunos interesantes que se hayan enviado recientemente.
 Se ha encontrado un comentario sin revisar

Ver el comentario no revisadoVer los comentarios no revisados
 
FAQ relacionadas
  + Implementar una capa de autentificación con PHP
  + Realizar un sistema para acceso con clave
  + Encriptación MD5
  + Seguridad en la empresa
  + Tipos de copias de seguridad
  + Qué es una captcha?
  + Cómo proteger por clave una red inalámbrica
  + Qué es un adware
  + Qué es un spyware
  + Claves encriptadas con MD5
  + Por qué telnet no es considerado un protocolo seguro
  + Cómo puedo cambiar los permisos de escritura de un archivo
  + Qué es Grayware
  + Como poner una contraseña en un zip
  + Seguridad en sitios
  + No permitir imprimir archivos PDF
  + Evitar la edición manual de parámetros de la URL
  + Pasar variables de ASP o PHP hacia Javascript o viceversa
  + Problemas con variables pasadas en la URL en algunos caracteres.
  + Enviar un mismo formulario a tres frames distintos
  + Problemas al recibir variables por formulario y URL
  + Diferencias de utilizar $_POST o la variable directamente
  + Variables $_SERVER en PHP
  + Envio de variables a un formulario
  + Borrar contenido de $HTTP_POST_VARS
  + Formatear decimales en PHP
  + Convertir en mayusculas
  + Paso de variables por GET en PHP
  + Números aleatorios decimales en PHP
  + Recoger el nombre de la URL en php
  + Comprobar si una variable es un array en PHP
  + Diferencia entre $HTTP_POST_VARS y $_POST
  + Función explode en PHP
  + Convertir texto con saltos de línea a HTML mediante PHP
  + Eliminar etiquetas HTML y PHP de una cadena
  + Código de barras
  + Obtener datos de un form creado dinamicamente

Complementar la respuestaComplementar la respuesta
Volver al árbol de categoríasVolver al árbol de categorías

DesarrolloWeb.com | Copyright | Anunciese | Acerca de | Datos legales | Contacta | Por GuiarteMultimedia