Foros del Web » Programando para Internet » PHP »

Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR']

Estas en el tema de Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR'] en el foro de PHP en Foros del Web. Bueno amigos necesito trabajar con estas dos variables y tengo una pregunta sobre seguridad, q me inquieta mucho.. Mi código es el siguiente: $IP = ...
  #1 (permalink)  
Antiguo 10/02/2011, 08:45
 
Fecha de Ingreso: junio-2010
Mensajes: 54
Antigüedad: 14 años, 6 meses
Puntos: 1
Exclamación Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR']

Bueno amigos necesito trabajar con estas dos variables y tengo una pregunta sobre seguridad, q me inquieta mucho..

Mi código es el siguiente:

$IP = ($_SERVER['HTTP_X_FORWARDED_FOR'])
? $_SERVER['HTTP_X_FORWARDED_FOR']
: $_SERVER['REMOTE_ADDR'];
$db->query("UPDATE users SET ultimaaccion=unix_timestamp(), ultimaip='$IP' WHERE id='{$key}'");

Q toma la ip del usuario y la graba en la base de datos como referencia futura...

Bueno mi pregunta es : Estas variables pueden ser manipuladas para inyectar un código a la consulta? por ejemplo, para modificar la tabla users:

255.255.255', efectivo='1000', key='999

Esto puede resultar un problema grave de seguridad, he escuchado que se puede manipular con un addon de firefox pero necesito conocer la opinión de los expertos.

Toda respuesta es agradecida.
  #2 (permalink)  
Antiguo 10/02/2011, 10:52
Avatar de pateketrueke
Modernizr
 
Fecha de Ingreso: abril-2008
Ubicación: Mexihco-Tenochtitlan
Mensajes: 26.399
Antigüedad: 16 años, 8 meses
Puntos: 2534
Respuesta: Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR']

la super variable $_SERVER tal y como lo indica su nombre, es creada y populada por el mismo interprete a partir de información proporcionada por el servidor...

de modo que ningún usuario podría alterar dichos datos, lo cual impide a dichas variables sufrir parte de un ataque... (:
__________________
Y U NO RTFM? щ(ºдºщ)

No atiendo por MP nada que no sea personal.
  #3 (permalink)  
Antiguo 10/02/2011, 14:27
Avatar de GatorV
$this->role('moderador');
 
Fecha de Ingreso: mayo-2006
Ubicación: /home/ams/
Mensajes: 38.567
Antigüedad: 18 años, 6 meses
Puntos: 2135
Tema movido desde Configuración PHP a PHP

A menos que alguien infectara el servidor web, con lo cual hay un mayor problema
  #4 (permalink)  
Antiguo 24/02/2011, 20:38
 
Fecha de Ingreso: junio-2010
Mensajes: 54
Antigüedad: 14 años, 6 meses
Puntos: 1
Respuesta: Duda sobre ['HTTP_X_FORWARDED_FOR'] y ['REMOTE_ADDR']

efectivamente si averigue q hay un addons viejo de firefox que permite manipular esto parámetros y modificarlos para injeccion sql... terminando parcheado el codigo y tema resuelto xD

Etiquetas: inyección, manipulacion, seguridad, variables
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:58.