seguridad!!!

pancho
14 de Abril del 2004
Hola a [email protected], ojalá alguién me pueda dar una orientación en estos asuntos:

1. He leído en muchos foros, artículos, tutoriales, etc. que el php.ini hay que configurarlo con las variables en off porque es más seguro, lo que todavía no logro comprender es ¿¿¿¿por qué es más seguro????

2. En mi web estoy tratando de implementar varias medidas de seguridad, la último será un servidor seguro, por el momento basado en unos tutoriales estoy tratando de pasar la info ente páginas encryptada, funciona más menos así:

Con una clase php se encripta los enlaces internos de esa forma no se ve directamente en la url, por ejemplo, el ID de un registro en la bd

Las url quedan del tipo ../index.php?PgdcWc6xJPgdcWc6xJRNPTef0XcAc etc...., la página objetivo (index.php) decodifica en el servidor los parámetos a consultar en la db.

Mi pregunta 2 es la siguiente ¿qué es más seguro?

a) Qué cada vez que haga login un usuario se genere una clave de cifrado aleatoria (y sólo para codificar/decodificar los parámetos de las url) y se guarde con reg_sess_vars(array("clave_url"));

b) O que cada usuario tenga en la bd una clave de cifrado para url y se consulte cada vez que sea necesario

Les agradezco mucho cualquier comentario respecto a estos y otros temas de seguridad y sobre todo el por qué de cada cosa para poder comprender y no seguir molestando :=)

Pancho

rccroot
14 de Abril del 2004
creo que por motivos de velocidad y no tener que ir a la base de datos a traer un campo,
me quedo con la primera solución

http://myphp.webcindario.com