Regresar a la página www.ComoCrearTuWeb.com
Página 3 de 4 PrimerPrimer 1234 ÚltimoÚltimo
Resultados 31 al 45 de 51

Tema: Problema con sistema de login de usuarios

  1. #31
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    Aunque si mal no recuerdo, por aquí http://www.comocreartuweb.com/consul...Bases-de-Datos ya dijeron algunos trucos para evitar la SQLi, a ver si entre todos los explicamos un poco mejor para que lo entiendan todos

  2. #32
    Administrador CCTW Webmaster de CCTWHabitante Avatar de Jorgens_CCTW
    Fecha de Ingreso
    30 ene, 11
    Ubicación
    Cartagena, Murcia, España.
    Mensajes
    1,188
    Poder de Reputación
    10
    Para hackearnos una web, es muy útil (para el cracker) saber de antemano cuál es nuestro sistema, qué características tiene nuestro servidor, o mejor dicho, qué software tiene. Versiones del sistema operativo, por ejemplo. Así, si sabe nuestra versión y conoce las fallas del mismo, ya sabe por donde entrar.

    Para saber cuál es la versión de nuestro php, de nuestro sistema operativo, etc, basta con provocar un error en nuestras páginas. Por ejemplo, escribiendo http: // www . comocreartuweb.com/noexistes. xfg

    Como no existe tal archivo, el servidor muestra una página de error, en la que.... mira por donde, aparece toda esa información.

    Para evitar esto, podemos enviar al navegador a nuestras propias página de error, en la que pondremos lo que nos de la gana. Por ejemplo "Esa página a la que intentas acceder no existe. Ve mejor a www.comocreartuweb.com".

    Cómo se hace esto? Primero creas una página normal, con el texto de arriba, por ejemplo. No necesitas que sea bonita, ni que tenga estilos, ni nada, solo ese mensaje. Imagina que la llamamos error.html

    Ahora en tu .htaccess escribes esto:

    ErrorDocument 401 /error.html
    ErrorDocument 403 /error.html
    ErrorDocument 404 /error.html
    y listo, en lugar de la página de error con esos datos delicados, aparece otra, la que hemos hecho. Puedes añadir a esa frase inicial el tipo de error al que corresponde cada página, si quieres, de este modo:

    ErrorDocument 401 /error401.html
    ErrorDocument 403 /error403.html
    ErrorDocument 404 /error404.html
    y creando claro, 3 páginas, en cada una de las cuales se indica el tipo de error.

    Esto era para romper el hielo! je je je.

  3. #33
    Esto empieza a ser un vicio... Habitante Avatar de victor5atodogas
    Fecha de Ingreso
    19 abr, 10
    Ubicación
    Zaragoza (España)
    Mensajes
    1,658
    Poder de Reputación
    20
    Pues por lo visto es tan simple como añador esto:

    $name=htmlspecialchars($_POST['name']);
    $pass=htmlspecialchars($_POST['pass']);
    $conexion=mysql_connect($dbhost,$dbuser,$dbpass) or die("Error.");
    mysql_select_db($dbname,$conexion) or die("Error.");
    mysql_query("select * from users where name='".mysql_real_escape_string($name)."',$conexi on) or die("Error");

    y sobra para evitar vulenerabilidades.
    Tienda de Productos de mascotas (perros, gatos, roedores, reptiles, pajaros, peces, tarjetas regalo, cestas...) a los mejores precios El Universo del perro Sigue a El Universo del Perro en Facebook

    Si quieres montar tu tienda con Prestashop y necesitas que te ayude puedes preguntarme, tambien ofrezco buenos precios para instalacion, configuracion, etc para tu nueva tienda.

  4. #34
    Administrador CCTW Webmaster de CCTWHabitante Avatar de Jorgens_CCTW
    Fecha de Ingreso
    30 ene, 11
    Ubicación
    Cartagena, Murcia, España.
    Mensajes
    1,188
    Poder de Reputación
    10
    Gracias Victor, buen detalle. Profundizamos? Vamos más allá? Se aceptan propuestas!

  5. #35
    Administrador CCTW Webmaster de CCTWHabitante Avatar de Jorgens_CCTW
    Fecha de Ingreso
    30 ene, 11
    Ubicación
    Cartagena, Murcia, España.
    Mensajes
    1,188
    Poder de Reputación
    10
    Lo que hace el es convertir algunas etiquetas html (introducidas manualmente por cualquiera en la url de una web) en otros simbolos no dañinos.


    • '&' (ampersand) se convierte en '&'
    • '"' (comillas dobles) se convierten en '"' si no está activo ENT_NOQUOTES.
    • ''' (comilla simple) se convierte en ''' si está activo ENT_QUOTES.
    • '<' (menor que) se convierte en '&lt;'
    • '>' (mayor que) se convierte en '&gt;'

  6. #36
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    Jorgens, en mi web tengo una página llamada 404.shtml que actúa como página de error 404 (pág no encontrada), pero no modifiqué ningún htaccess, es una opción que tienes desde el cPanel jejeje

  7. #37
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    Victor, aún poniendo eso ese formulario sería vulnerable

    Lo que hay que hacer es desactivar magic quotes si mal no recuerdo
    Código:
    @set_magic_quotes_runtime(0);
    Si me equivoco corregidme, no vaya a decir cosas mal y os líe jejeje

  8. #38
    Administrador CCTW Webmaster de CCTWHabitante Avatar de Jorgens_CCTW
    Fecha de Ingreso
    30 ene, 11
    Ubicación
    Cartagena, Murcia, España.
    Mensajes
    1,188
    Poder de Reputación
    10
    Si, todo lo que se puede indicar en el htaccess, se puede colocar directamente en el servidor, en un archivo de configuración del mismo. Lo que se logre colocar allí no hace falta colocarlo en el htaccess. El cpanel te permite colocar esas instrucciones directamente en ese archivo de configuración y por eso no tienes nada en el htaccess.

    Espero hablar del htaccess pronto en CCTW. Joe, cuantas cosas por explicar, ja ja ja ja

    Creo que en este hilo podremos aprender bastante ;=)

  9. #39
    Esto empieza a ser un vicio... Habitante Avatar de cesar_ed
    Fecha de Ingreso
    11 feb, 10
    Mensajes
    563
    Poder de Reputación
    14
    Hola,

    Tenia tiempo sin leerte por aqui jorgens, que bien que ya atiendas mejor el foro :D
    Bueno yo regresando por aca, ya estoy de vacaciones, volvere a ayudar en esto que es mi fuerte (php y mysql).
    Y bueno este tema creo que ya lo han resuelto , pero aportare algo que es muy bueno para evitar las inyecciones sql, y como creo que todo ya lo han dicho solo profundizare un poco. En el caso de que se usen variables por url (GET) o por Post. es bueno combinar las ENT_QUOTES, junto con los htmlspecialchars . Aqui una manera facil de lograrlo:
    $codigo1 = (int)$_GET['']; //en el caso de que sea solo numero lo que exista en la variable, si tambien existen letras quitamos el (int)
    $codigo1 = htmlspecialchars($codigo1);
    $codigo1 = htmlspecialchars($codigo1,ENT_QUOTES);
    De esta forma tenemos librado las inyecciones, de una manera muy eficaz. Recordando que aun es vulnerable pero se reduce menos la posibilidad de ser 'crackeado' . Recordando para los usuarios que no saben, que un "HACKER" no es una persona mala como ustedes lo conocen (la mayoria). Un hacker es aquel experto en informatica y aunque sabe destruir no lo hace, y en caso de hacerlo lo hace para bien, aqui la palabra buscada es cracker que es un experto informatico "criminal", "malo" y utiliza sus conocimientos para destruir webs o hacer daños :(
    La otra forma de proteccion es por el .htacces usando el famoso y eficaz "ModRewrite" de apache, y esto para convertir nuestros .php a .html y que esten en "carpetas" inexistentes, pero que sin embargo existan , a lo que me refiero:
    Tienes tu archivo .php en una cierta direccion , ejemplo : midireccion.com/index.php?categoria=donaciones
    el mod rewrite de apache lo sustituiria por : midireccion.com/index/categoria/donaciones.html ¿Acaso no es genial?
    No solo para evitar el "CRACKEO" si no tambien ayuda en demasia para el posicionamiento "SEO",
    La otra gran variable del .htacces que tenemos es el "RewriteCond" esto sirve para impedir ataques como : sql, xss , etc.
    Tambien tenemos la opcion de errores como "404", "403" ... Esto nos permite tener nuestros errores personalizados , esto funciona para no tener los famosos "oyos de seguridad" . Y tambien como alternativa a hosting gratuitos que en los errores, te mandan a su publicidad, creo que la gran mayoria hace eso y con esto puede evitar eso tambien.
    Y por ultimo tenemos la opcion de evitar los famosos ataques "DDoS" , que son ataques de denegacion de servicio. Y es utilizado para sobrecargar el servidor gastando la transferencia, y como esta es limitada hasta en hosting de paga, te cierran la cuenta y te ponen el error 500 "Internal server error" , y ya no puedes hacer nada :( . Para evitar esto tenemos el "LimitRequestBody" para limitar la transferencia en caso de que esto suceda.
    un ejemplo de hacer todo esto antes mencionado en el .htacces es :

    ## Manejo de errores de Apache. Cuando se produzca uno de estos errores, redirigimos a una pagina especial desarrollada por nosotros.
    ErrorDocument 401 /error401.html
    ErrorDocument 403 /error403.html
    ErrorDocument 404 /error404.html

    RewriteEngine On
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f

    Options +FollowSymLinks
    # Evitar escaneos y cualquier intento de manipulación malintencionada
    # de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)
    RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
    RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]
    RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]
    RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|ni kto|scan|clshttp|archiver|loader|email|harvest|fet ch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]

    RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]
    RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>| '|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C| %3E|%27|%26%23|%60)(.*) [NC,OR]
    RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]
    RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]

    ## Evitar que se liste el contenido de los directorios (que no aparezcan)
    Options All -Indexes
    ## Lo mismo que lo anterior
    IndexIgnore *
    # Protegerse contra los ataques DOS limitando el tamaño de subida de archivos
    LimitRequestBody 10240000

    #Cambiar a url amigable el ejemplo anterior visto
    RewriteRule ^index/categoria/donaciones/$ index.php?categoria=donaciones [QSA,L]


    Y con esto tenemos nuestro .htacces haciendo una superfuncionalidad y sacarle mas provecho a nuestro sitio en todos los sentidos, mas rapido , mas seguro , y con mejor posicionamiento SEO.

    Se los dejo porque ustedes me han dado mucho , y si no hubiera conocido esta web probablemente, no sabria lo que se ahora, Asi que quiero compartirselos para que tengan un mejor sitio y para que despues vuelvan aca a CCTW a ayudar a los nuevos.

    Un saludo
    Última edición por cesar_ed; 12/07/2011 a las 19:33
    Es facil programar "Solo interesate en aprender"

  10. #40
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    un "HACKER" no es una persona mala como ustedes lo conocen (la mayoria). Un hacker es aquel experto en informatica y aunque sabe destruir no lo hace, y en caso de hacerlo lo hace para bien, aqui la palabra buscada es cracker que es un experto informatico "criminal", "malo" y utiliza sus conocimientos para destruir webs o hacer daños :(
    Por fin, una persona que no confunde los términos!
    Por cierto, bienvenido de nuevo jejeje

    Muchísimas gracias por el aporte, unos puntitos para ti jejeje

  11. #41
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    Eso sí, los DDoS sólo os lo harán (supongo) si la página tiene mucho éxito, pues dependiendo de los servidores se necesitarían muchas personas haciendo transferencias al mismo tiempo... pero alomejor se reúnen una banda de lammers y te quedas sin página, quién sabe jejeje

    Ah, un consejo por si tenéis un sistema de login: Cuando una IP falle varias veces al intentar loguearse (5 por ejemplo) que no pueda probar a loguearse de nuevo hasta dentro de algún tiempo. Por qué? Porque puede usar un programa de "fuerza bruta" que es un programa que se basa en diccionarios para probar y probar contraseñas hasta dar con la correcta, así los evitaremos jeje

  12. #42
    Esto empieza a ser un vicio... Habitante Avatar de cesar_ed
    Fecha de Ingreso
    11 feb, 10
    Mensajes
    563
    Poder de Reputación
    14
    Claro claro, pero bueno eso ya no tendria que ver con el .htacces, basta con un captcha , para evitar ese tipo de spiders o robots contra la web. :D
    En cuanto a los ataques DDoS , no es lo mismo mucha actividad de usuarios a un ataque DDoS , porque ahi evita la transferencia en exceso por parte de un solo usuario, dependiendo si el ataque sea UDP o TCP , la transferencia es por paquetes de kilobytes, esto genera una transferencia ilimitada, sin que se cierre una conexion, y hace que el servivdor se sature, esto evita que haya conexion ilimitada por parte de un usuario y hace que actue de manera normal, en el caso de flood HTTP , funcionaria de igual manera.

    Saludos
    Es facil programar "Solo interesate en aprender"

  13. #43
    Esto empieza a ser un vicio... Habitante Avatar de Doodleo
    Fecha de Ingreso
    25 abr, 11
    Ubicación
    Galicia (España)
    Mensajes
    1,329
    Poder de Reputación
    17
    Ah por cierto, recomiendo que no uséis como servidor un Windows 97/98 jajajajaja

  14. #44
    Esto empieza a ser un vicio... Habitante Avatar de cesar_ed
    Fecha de Ingreso
    11 feb, 10
    Mensajes
    563
    Poder de Reputación
    14
    hahaha , lo bueno que esos no existen porque yo queria uno de esos xD
    Es facil programar "Solo interesate en aprender"

  15. #45
    Administrador CCTW Webmaster de CCTWHabitante Avatar de Jorgens_CCTW
    Fecha de Ingreso
    30 ene, 11
    Ubicación
    Cartagena, Murcia, España.
    Mensajes
    1,188
    Poder de Reputación
    10
    Hey muchas gracias Cesar. Como siempre, es un placer leerte y tenerte entre nosotros.

    Por cierto, te importaría decirme cómo aprendo lo siguiente? He leido que usar aunque sea un solo htaccess obliga al servidor a buscar ese mismo archivo en cada una de las carpetas de la web, por si existe alguno que deba "sobreescribir" alguna de las reglas indicadas en el htaccess de la raiz. Y es por eso que algunos recomiendan no usarlo (si se puede evitar) para liberar un poco al servidor.

    Bien. Creo que como alternativa, podemos cargar todo el contenido del htaccess en un archivo de configuración del servidor, de modo que al reiniciarlo, ya conoce esas reglas y no necesitamos añadirle nada con htaccess, pudiendo entonces eliminarlos y liberar así al server de ese trabajillo.

    Es del todo cierto? Qué archivo es ese? Sabes de algún sitio donde pueda profundizar? No se ni cómo buscar información de esto. Te estaría, de nuevo, muy agradecido!

    Ahí van 10 puntitos compañero, je je je

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •