[Pregunta]: ¿Los usuarios pueden usar funciones de lado del servidor?

Iniciado por Leguim, 27 Agosto 2019, 20:56 PM

0 Miembros y 1 Visitante están viendo este tema.

Leguim

Buenos días, tengo entendido que las únicas cosas que pueden modificar los usuarios son esas del lado del cliente. Por el lado del servidor no tienen forma de modificar nada.

Pero tenia esta duda y es que ¿Los usuarios pueden usar funciones php?
Ya se que si pueden usar funciones javascript escribiendo en la consola para desarrolladores (estoy trabajando en limpiar los datos y validarlos) pero en funciones php hay alguna forma de que las usen?

Gracias.

animanegra

Si tienes una entrada dentro de un eval y no tienes cuidado podrían ejecutar código php. Si dejas subir archivos sin tener cuidado con lo que suben, podrían subir un archivo php y ejecutarlo. Si no tienes cuidado con lo que metes en tu base de datos podrían ejecutar código sql o ejecutar comandos remotos en el servidor. Si lo que sale del SQL lo evaluas podrían ejecutar código php. Si no tienes cuidado con los system, podrían ejecutar comandos remotos.

En general, cuidadito (mucho) con todo lo que te dan los usuarios o si no... la lias y gorda. Osea que limpies todo lo que te dan los usuarios desde php aunque lo hayas hecho ya desde html/javascript y acepta sólo los parámetros que esperas o no aceptes lo que te da el cliente. Y cuidado, mucho cuidado con los JSON que los carga el diablo. Hay gente que une una entrada de JSON con un "==" y un hash, y esa combinación suele ser fantástica.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

engel lex

#2
No, en el js corren funciones en consola, porque el js está en el navegador, el php se manda ya digerido y procesado, incluso su ejecución (por defecto) termina antes de enviar algo al cliente

Por eso la seguridad se hace del lado del servidor, solo sé ejecutará lo que tú dispongas a que sea ejecutado y se hará por medio de un link

Agregando a lo dicho por animanegra, tienes que preocuparte de no dejar un hueco de seguridad donde te puedan explotar el servi
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

MinusFour

Yo creo que depende de como mires la pregunta. Cuando un usuario hace una petición se corre una serie de funciones de lado del servidor. Entonces técnicamente el usuario si usa tus funciones, solo que está limitado por la interfaz del servidor. Que tanto le dejes a un usuario hacer uso de tus funciones va a depender de como programes tu servidor.