$_SERVER: PHP_SELF vs. REQUEST_URI

caricatos · #1 (**permalink**) 16/09/2013, 03:38

Hola:

Estoy intentando implementar un sistema de seguridad con códigos distintos para cada página, y para ello estaba guardando la página actual con PHP_SELF, para desde la página de control chequear el código original comprobando que la página desde donde viene sea igual al HTTP_REFERER del server..., y de esa manera también direccionar para volver a la página desde donde se envió el formulario...

Resulta que controlando la variable $_SERVER, el elemento que me vale es REQUEST_URI ya que desde una url terminada en "/" el PHP_SELF también añade el "index.php", y no coincide con el HTTP_REFERER.

¿Creen que es válido y seguro?

Saludos

h2swider · #2 (**permalink**) 16/09/2013, 08:17

Que bueno ver que aun quedan preguntas interesantes.

Con esto te evitarías request de lugares no deseados, aunque yo preferiría hacer una petición asincrónica que lo resuelva sin tener que redirigir dos veces como mencionas. En resumen, la idea que propones parece viable, siempre y cuando nadie te modifique las cabeceras del request (cosa que dudo mucho)

Saludos

caricatos · #3 (**permalink**) 18/09/2013, 04:42

Hola:

No entiendo eso de redirigir dos veces... La redirección sería con un meta redirect y un enlace.

Lo que me resulta incómodo es tener que poner o quitar el protocolo a mano...

La idea es considerar la página con:

// $p = "http://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"];
$p = $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"];

y en el control:

//$p = $_SERVER["HTTP_REFERER"];
$p = str_replace("http://", "", $_SERVER["HTTP_REFERER"]);

No sé si habrá forna de obtener el protocolo, y evitar usar cadenas "literales".

Saludos

pateketrueke · #4 (**permalink**) 18/09/2013, 07:50

Sí hay forma de obtener el protocolo, inspecciona con var_dump() toda la variable $_SERVER y verás que ahí viene.

caricatos · #5 (**permalink**) 18/09/2013, 08:39

Hola:

Supongo que te refieres a "SERVER_PROTOCOL"... en vez de usar var_dump he usad print_r... supongo que es lo mismo y por lo visto el resultado es muy parecido... pero la respuesta es PHP/1.1 en los dos sitios que he visto (uno de ellos es localhost)

Lo que no he visto es la cadena que se muestra en la url "http://", y aunque no uso el protocolo https, no sé como podría discriminarlo... (tampoco tengo información sobre otros protocolos, que seguramente existan)

Saludos

pateketrueke · #6 (**permalink**) 18/09/2013, 09:07

De hecho hay un índice que se llama HTTPS, mira:

Cita:

'HTTPS'
Ofrece un valor no vacío si el script es pedido mediante el protocolo HTTPS.

Nota: Tenga en cuenta que si se emplea ISAPI con IIS el valor será off si la petición no se ha realizado a través del protocolo HTTPS.

caricatos · #7 (**permalink**) 19/09/2013, 09:44

Hola:

Cita:

Iniciado por pateketrueke

De hecho hay un índice que se llama HTTPS, mira:

No sé si será por la configuración php o apache, en ninguna de mis pruebas aparece ese índice. De todos modos, gracias.

Saludos

pateketrueke · #8 (**permalink**) 19/09/2013, 09:51

Dicho índice sólo existe si accedes a tu site desde https me parece, si no, pues no.

#9 (**permalink**) 19/09/2013, 11:49

voy a intentar ayudar un poquito , podrias implementar un token que hara algo mas seguro la verificacion , te realize un ejemplo

un_archivo_cualquiera.php

Código PHP:

Ver originalsession_start();
 
$rand= rand(); // salt aleatorio pongo de ejemplo rand()
 
// funciona con las 2 cadenas
$pagina = "http://" . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"];
// $p = $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"];
 
// creamos el token , puedes generar el token como mas te guste yo puse este ejemplo
// concatenamos el salt con la url y generamos un hash
$hash = hash('whirlpool',$rand.$pagina);
 
// creamos la session para su postrior verificacion con el hash
$_SESSION['TOKEN'] = $hash;
 
// creamos la session para guardar la url para su posterior verificacion
$_SESSION['REFERER'] = $pagina;
 
// creamos la cookie para crear el hash en control y verificar
setcookie('TOKEN',$rand);

control.php

Código PHP:

Ver originalsession_start();
 
// capturamos la url de donde vino
$url = $_SERVER["HTTP_REFERER"];
// $p = str_replace("http://", "", $_SERVER["HTTP_REFERER"]);
 
// comprobamos que existan todas las variables 
if(isset($_SESSION['TOKEN']) and isset($_SESSION['REFERER']) and isset($_COOKIE['TOKEN']))
{
    // creamos el hash
    $hash = hash('whirlpool',$_COOKIE['TOKEN'].$url);
 
    // verificamos ambos hash y ambos referer
    if($_SESSION['TOKEN'] === $hash and $_SESSION['REFERER'] === $url)
    {
 
        // continuamos
        echo 'correcto';
    }
}
 
// eliminamos los datos
unset($_COOKIE['TOKEN'],$_SESSION['TOKEN'],$_SESSION['REFERER']);

ay puntos que debes de reforzar tan solo es un ejemplo , por ejemplo los nombres que no sean tan comunes y la cookie intentar mandarlo codificada o encriptada estaria muy bien, un buen salt aleatorio ,un buen hashing etc...

saludos