seguridad y variables de sesión

Tuli-latum · #1 (**permalink**) 07/10/2008, 10:39

Hola,
Estoy intentando hacer una tienda virtual sencilla en php (ya he probado osCommerce y zencart, pero son muy complejas para lo que yo quiero y poco modificables, por lo menos para mi nivel). El caso es que tengo pensado utilizar variables de sesión para guardar los datos de la cesta mientras están comprando, y la id del usuario al loguearse, pero he leído en algún sitio que las variables de sesión no son seguras.¿Es esto cierto y puede suponer un problema? Un saludo y gracias por adelantado.

GatorV · #2 (**permalink**) 07/10/2008, 10:49

Hola Tuli-latum,

En donde haz leido eso?, solo son inseguras si tu aplicación es insegura, si tu aplicación es segura, creeme que es muy difícil que puedan leer las variables de sesión, ahora si que todo depende al uso que tu les des.

Saludos.

Tuli-latum · #3 (**permalink**) 07/10/2008, 10:55

pues resulta que en el hosting donde tengo mi web, las variables de sesión estaban deshabilitadas, y tuve que pedirles que las habilitaran. Al responder me dijeron que las tenían deshabilitadas por defecto porque no eran seguras, y no se que rollo, pero las habilitaron sin problemas.
Esto había hecho que me preocupara un poco, pero después de tu respuesta ya me quedo más tranquilo.

muchas gracias!

GatorV · #4 (**permalink**) 07/10/2008, 11:03

Mmmm me confunde un poco que fue lo que tenian desactivado y que fue lo que activaron, recuerda que las variables de sesión son diferentes a las variables globales, mejor revisa bien lo que vas a utilizar.

Saludos.

franco190453 · #5 (**permalink**) 07/10/2008, 11:25

Tuli-Latum:
Te recomiendo que cambies de hosting ya que no parecen ser muy expertos.
Asimismo, cualquier pase de variables de un archivo hacia otro debes validarlo.
¿Que es validar?
Si tu esperas recibir el nombre de un archivo y el tipo (Por ejemplo jpg y/o gif)
entonces asegurate que asi sea; es decir solo debes permitir los tipos de archivo
image/gif y image/jpg y que la cantidad de caracteres anteriores a .jpg
y/o .gif no exceda de un maximo de X cantidad de letras y/o numeros.
Diseñar una tienda virtual que implique mostrar imagenes, comprar y/o vender es muy delicado hoy dia; te recomiendo utilizar os-commerce que aunque es un tanto extensa es bastante segura para tus propositos.
Saludos
Franco

P.S. Me uno efusivamente al comentario de GatorV sobre seguridad:
"solo son inseguras si tu aplicación es insegura".
P.S. Miles de sitios son "defaced" diariamente por hackers. Algunos sitios
hasta logran controlarlo totalmente sin que el dueño se de cuenta.

chitoso · #6 (**permalink**) 07/10/2008, 11:53

Yo te recomiendo que le eches un vistazo a Magento.

jamer007 · #7 (**permalink**) 07/10/2008, 13:14

Ademas para aumentar la seguridad en las variables no menejes datos que sea sensibles y que aporten información crucial, eso trata de manejarlo por Base de datos por ejemplo y lo que tengas en las sesiones manejalo siempre encriptado y si es posible tambien puedes utilizar una conexión https.

masterojitos · #8 (**permalink**) 07/10/2008, 13:19

y como dice jamer007, sino utiliza el protocolo https que es para que tu sitio web sea mas protegido..... suerte.