Consulta sobre una duda de php

kriss8725 · #1 (**permalink**) 24/02/2010, 13:00

Que tal buena tarde, quiero si las variables de $_SESSION se pueden pasar por la url, esto lo pregunto porque quiero saber si mi pagina web quedaria vulnerable ante eso, muchas gracias.

ONahuelO · #2 (**permalink**) 24/02/2010, 13:02

Las variables $_Sesion las definis vos del lado del servidor, si vos juntas la variable desde la url y la definis como secion si, pero si no no :)

kriss8725 · #3 (**permalink**) 24/02/2010, 13:06

Gracias por tu respuesta mira este es mi archivo donde creo variables de session dime porfavor si tengo algun problema:

Código PHP:

  <?php

session_start();//se inicia la sesion

    require("includes/conexion.php");

    if (isset($_POST['txtusu']))

    {//inicio del if si se usa txtusu

      $usuario=$_POST['txtusu'];

      $clave=$_POST['txtpass'];

        if (($usuario=="") || ($clave==""))

        {//inicio del if si clave o usuario =" "

           $_SESSION['NO']="Debe llenar las dos cajas de texto!!!";

           $dom="inicio_sesion.php";              

                    header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom); 

        }//fin del if si clave o usuario ==" " 

          else

          {//inicio del else si los campos txtusu y txtclave no son vacios         

             $sql = sprintf("SELECT * FROM usuarios WHERE nom_usu='".mysql_real_escape_string($usuario)."'");

             $r = mysql_query($sql,$con);

             $fila=mysql_fetch_array($r);     

                if ($fila > 0)

                {//inicio del if si fila > 0

                $pass = $fila['password'];

                $clave = sha1($clave);

                        if ($pass == $clave)

                        {//inicio del if para validar la clave

                            session_register('nom_usu');

                            $_SESSION['nom_usu'] = $fila['nombre'].' '.$fila['ape_pat'].' '.$fila['ape_mat'];

                            $_SESSION['tiempo'] = time();

                            $_SESSION['tipo_usu'] = $fila['tipo_usu'];

                            $dom="sistema.php";

                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom); 

                        }//fin del if para validar la clave

                        else

                        {//inicio del else del pasword

                            $_SESSION['NO']="Contraseña no válida!!!";

                            $dom="inicio_sesion.php";

                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom);

                        }//fin del else del password

                }//fin del if si fila > 0

                        else

                        {//inicio del else del usuario

                            $_SESSION['NO']="Nombre de usuario no válido!!!";

                            $dom="inicio_sesion.php";

                            header("Location: http://".$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF'])."/".$dom);

                        }//fin del else del usuario

                        mysql_free_result($sql);//libera la consulta

           }//fin del else si los campos txtusu y txtclave no son vacios

                    mysql_close();//se cierra mysql

    }//fin if si se usa txtusu

else

session_destroy();//se termina la sesion           

?>

eulloa · #4 (**permalink**) 24/02/2010, 13:09

Cita:

Iniciado por kriss8725

Que tal buena tarde, quiero si las variables de $_SESSION se pueden pasar por la url, esto lo pregunto porque quiero saber si mi pagina web quedaria vulnerable ante eso, muchas gracias.

Si ya vas a utilizar sesiones, no tienes porque pasarlas por URL

, mas info sobre session
http://www.google.com/search?hl=es&q...meta=&aq=f&oq=

eulloa · #5 (**permalink**) 24/02/2010, 13:11

A simple vista, no parece tener algún problema
¿Te ha presentado alguno a tí?

kriss8725 · #6 (**permalink**) 24/02/2010, 13:17

no me a presentado ningun problema, gracias pero solo que queria estar seguro de eso y las variables no las paso por la url, lo preguntaba por si alguien queria entrar a una seccion que no deberia y pusiera la variable por la url

eulloa · #7 (**permalink**) 24/02/2010, 13:22

Cita:

Iniciado por kriss8725

no me a presentado ningun problema, gracias pero solo que queria estar seguro de eso y las variables no las paso por la url, lo preguntaba por si alguien queria entrar a una seccion que no deberia y pusiera la variable por la url

El tema de la seguridad de sesiones en PHP ha sido ampliamente abordado, puedes consultar
http://www.google.com/search?hl=es&q...meta=&aq=f&oq=

Si quieres profundizar