Me queda una duda:
En la raid tengo un index.html, que es la pagina de inicio, y sin embargo aqui se habla de pone un index.html vacio, si cambio el index.html que tengo a index.php, el usuario al entrar en la pagina se le abrira el index.html, no?
En ese index.html se le puede redireccionar a index.php, seria seguro?
Gracias
Un saludo
El index.html vacio del que se abla, es solo si tu raiz del sitio y/o cualquier directorio no contiene un index.html o index.php.
Supongamos que tienes una carpeta donde tienes toooodas las imágenes de tu web ¿no?. Te ha costado mucho trabajo diseñarlas etc.. y no quieres que NADIE entre a ese directorio por medio de http://www.tuweb.com/imagenes ya que por este medio vería todas y las podría descargar sin ningún problema, pues para ello crear un index.html vacío para que dicha persona cuando escriba http://www.tuweb.com/imagenes se encuentre con una página en blanco. Este mismo ejemplo es aplicable a demás carpetas y archivos.Iniciado por Jeyn
- Si mi respuesta o publicación te ha resultado útil, agradecemelo dándome un punto de reputación :)
- Comparto recursos HTML, PHP y CSS. Entra aquí.
- Critica mi web :)
--------------------------------------------------------------------------
- www.skaidri.com
- NitroCode
Amigo para complementar, solo debes crear el index.html en las carpetas que partan del root(la zona principal de la web)
O en otras palabras si tienes esto en tu host.
index.php
estilo.css
objetos
galerias
comentarios
otrascosas
Las carpetas objetos, galerias, comentarios, y otrascosas deberían tener adentro un index.html en blanco por seguridad, y en donde esta index.php no colocar nada, ya que reconocerá como pagina de inicio el index.php.
OMG WTF BBQ
Disculpen cualquier error o metidota de pata, la universidad me tiene loco y candado.
www.mangasve.com.ve el lugar venezolano del manga
http://www.comocreartuweb.com/comune...normas-v01.gif
Ok, muchas gracias
Con poner el index.html en las carpetas, restringir las variables $_POST como se ha anunciado al principio y generando la pagina de error 404, ya seria mas o menos fiable la seguridad?
Aun que supongo que eso sera como todo, aunque valiese de momento siempre iran cabiando y avanzando las cosas tanto por los hakers como por los webmaster. no?
Lo pregnto por que yo estoy termiando una pagina que quiero subir, y la voy probando en un servidor gratuito, que no me va mal, pero he visto que si a entrado alguien(Eso si no tenia ni los index, ni restringidas las $_POST), es un registro lo que esto probando ahora y en la base de datos aun que tengo puesto en el form que los campos sean obligatorios, no los habian rellenado, solo el usuario el password y el email, pero en los tres campos ponia virus, cuando el email lo tengo que sea abligatorio y email, lo valide asi en dreanweaver. No entiendo como podia poner solo virus. sin @ ni dominio.
Ya si e puesto los index y e restringido las variables, ahora me falta generar la pagina 404 esa, a ver si doy con ello.
La verdad es que yo es lo primero que hago y hece menos de un año no tenia ni idea de nada, hice el curso paso a paso y de ahi me empezo a picar la curisidad.
Gracias.
Un saludo
Un saludo
Claro Jeyn, las medidas de seguridad que damos aquí son muy superficiales, siempre le puedes complicar más la vida a los Crackers y Hackers maliciosos de causarte algún problema.
Supongo que con restringir las variables $_GET y $_POST te refieres a limpiar dichas variables de código malicioso antes de ser guardadas en tu BBDD ¿no? si es así, has captado la esencia de este tema :)
- Si mi respuesta o publicación te ha resultado útil, agradecemelo dándome un punto de reputación :)
- Comparto recursos HTML, PHP y CSS. Entra aquí.
- Critica mi web :)
--------------------------------------------------------------------------
- www.skaidri.com
- NitroCode
Vamos a ver que ya me lio
Yo le he puesto como se a indicado al principio a las $_POST cuando las recojo en registro.php, de un formulario.html
form action "registro.php" en el registro.php en vez de recuperar los datos directamente de $_POST[usuario] he puesto $user,que lo ehe recogido en la vaiable asi:
$user = htmlspecialchars($_POST['username']);
No guardo la variable en la BBDD, y asi la recojo en las paginas que la necesito, eso si lo tengo qeu hacer en toas las paginas que llame a la variable, pero bueno eso ya esta.
Igual soy un poco torpe, pero es como me he enterado. Ha! y si me funciona eso si que no se que nivel de seguridad puede dar.
Me gustaria que me entendierais, es mi primera pagina y no se muy bien por donde ando, igual me he metido en mas de lo que debo.
Gracias
he estado mirando lo del enlace que me as puesto y entonces debo de poner los tres codigos para cada variable,
supongo que $variable en el caso de antes seria $user, es que como se repite tanto la $variable, por eso lo pregunto.
Yo solo habia puesto
$user = htmlspecialchars($_POST['username']);
y deberia de ser
$user = stripslashes($_POST['username']);
$user = strip_tags($user);
$user = htmlentities($user);
No?
Aunque aqui no aparece el htmlspecialchars.
Es que se buscan unas palabrejas que ojo.
Asi pasa que no me entero bien hasta qeu no me estrello.
Gracias
Cuando se trata de seguridad, alguna vez lei que hay que desconfiar de todo, y no creer que el usuario va ha seguir las intruciones al pie de la letra, si tu en un formulario pides un numero, al recoger la variable asegurate de que efectivamente sea un numero, si es un correo, asegurate que sea un correo, si es un nombre de usuario, asegurate que cumple con ciertas caracteristicas, todo eso se logra con validaciones, claro esta entre mas seguridad, mas robusta tu pagina y mas recursos consumira.
Quizas para poder ayudarte mejor, deberias postear la url de prueba de tu web, asi los mas experimentados podrian testear tu web y darte consejos en cuanto ha seguridad.
Aqui un ejemplo de validaciones en php: http://aportes.serverdns.us/ejemplo_validar.php
Si, perfecto, lo has entendido. Lo que vos ponés ($user = htmlspecialchars($_POST['username'])) también es correcto, es más, esa sería otra "regla" a poner para eliminar cualquier intento de inyección a la BBDD. Mírate también lo que dice nuestro compañero serverdns, su aporte es muy interesante y muy bueno. Y no te lies, yo hablaba de variables a guardar en BBDD, pero como te has dado cuenta, se puede ampliar a todas las variables que pretendes que el usuario te envíe.
serverdns, me gustaría que por favor compartieras tu código con nosotros, estaría genial.
- Si mi respuesta o publicación te ha resultado útil, agradecemelo dándome un punto de reputación :)
- Comparto recursos HTML, PHP y CSS. Entra aquí.
- Critica mi web :)
--------------------------------------------------------------------------
- www.skaidri.com
- NitroCode
Ok, de todas formas si dejo el enlace aunque no esta la pagina, es solo el registro lo que estoy probando ahora, lo demas creo que me funciona bien y son paginas html para que visiten los usuarios, ahi no tengo formularios ni nada donde se puedan introducir datos, son paginas de lectura. como se aprende en el curso paso a paso.
Hay no habra problema? digo yo.
Bueno que me enrroyo al final.
http://conductor.myartsonline.com/index.html
Es un subdominio gratuito como ya creo que puse por ahi.
Gracias
he visto tu pagina, y creo que tienes muchos problemas en cuanto a la seguridad, parece ser que toda ella esta basada en javascript, la cual se puede burlar simplemente con deshabilitarlo.
Te recomiendo lo siguiente:
* Despues de limpiar tus variables de codigo malicioso, revisa que tus variable no esten vacias, por ejemplo supongamos que guardamos la edad de tu formulario en la variable $edad, entonces la procesamos:
* Si no Estan Vacias Las variables, que tu script continue ejecutandose, paso la primera prueba.Código PHP:if($edad=="") echo "La Variable Esta Vacia";
if(empty($edad)) echo "La Variable Esta Vacia";
* Despues comprueba si efectivamente el valor que lleva cada variable corresponde al indicado.
Asi podrias emplear los mismos metodos para tus demas datos.Código PHP:if(empty($edad)) echo "La Variable Esta Vacia";
if(is_numeric($edad) && !stristr($edad,".") && $edad>15 && $edad<100){
echo "Correcto Eres Mayor De 15 y Menor De 100";
}else{
echo "Tu Edad No Es Correcta";
}
Gracias Áldaron
Entonces serian 4 reglas por cada campo del form?
He mirado lo de serverdns y esta muy bien pero yo ahi no llego.
Yo lo hice con dreanweaver y en inspector de etiquetas/comportamientos es donde valide el form, si puse en numero que fuesen numeros y en email que fuese email, la edad la comprobe tambien, los campos obligatorios, pero eso no se si restringe el php o com dice codomodragon c++ lenguaje programacion. eso ya me supera con mucho, es esto y ya me cuesta entenderlo.
Aun asi creo que he aprendido mucho, por que no tenia ni idea de nada.
un saludo
Última edición por Jeyn; 04/04/2011 a las 22:33
Lo he entendido, lo de java es lo que te da dreanweaver al validar.
El ejemplo que me as puesto esta genial de verdad pero lo as puesto para edad, y es "is_numeric" pero para email no es un numero, ni texto y los nombres, ciudades, apellidos tampoco son numeros son textos. Perdona pero no se como seria.
Lo siento.
Gracias
Ya lo e mirado y no as dejado rastro de nombre, ni password, ni email, es lo que me paso el otro dia como e comentado, el otro dia si dejaron el nombre el pasword y el email, pero en los tres campos ponia virus y en el email igual sin @ ni domino, yo lo que mas temo es que accedan ala base de datos, y si se van registrando usuarios que los borren o algo asi, si se registran mal tambien tengo a posibilidad e bloquearlos, tu un ejemplo no as dejado rastro pero si se a quedado tu ip, por la ip tambien lo puedo bloquear, a no ser uqe accedan a la dase de datos y a la tabla y se borren los datos.
Gracias
Un saludo
Permisos de Publicación
Si buscas un buen hosting, ComoCrearTuWeb te recomienda estos dos:
Citar
Marcadores