Mensajes

ahi no esta todo el script de condiciones... seguro imprimes algo antes de enviar la cookie, ponlo completo para dejar de suponer o intentar hacer magia

Ya lo solucione,

Agregue un "ob_start();"al inicio de TODO el codigo XD.
Creo que el problema estaba en que definia un detaulftimezone() (creo asi es la funcion) ademas de solicitar la IP del visitante con la http_agent :$

Buenas,

Pues anteriormente ya he trabajado con cookies, sin embargo esta vez como estoy trabajando bajo la misma pagina (usando formularios que trabajan bajo la misma pagina) me tirar un error y no encuentro como resolverlo.

Bueno basicamente esta es la estructura de mi web (test.php):

Código (php) [Seleccionar] Expandir


include(script);
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Test</title>
</head>
<body>
Aqui el formulario que manda informacion a esta misma pagina mediante $_POST[].
</body>
</html>

Aqui todo el script de condiciones:

Código (php) [Seleccionar] Expandir


if()
. . .
if(condicion para cookie)
setcookie(...);


El error es:

Código [Seleccionar] Expandir

Warning: Cannot modify header information - headers already sent by (output started at test/script.php:6) in test/test.php  on line 2

Se que el error se debe a que YA se han enviado las cabezeras, sin embargo esto es muy raro ya que... NO tengo codigo html antes NI dentro del archivo script.php por lo que la cookie deberia crearse, por internet y san google lei que se podia blokear la informacion de los headers para ser enviada al momento deseado mediante funciones de salida (ref php.net) pero la verdad no las comprendo muy bien.

Podrian ayudarme con esto?

Gracias por su colaboracion.

'Python para todos' es un libro sobre programación en Python escrito por Raúl González Duque. Se trata de un tutorial de Python adecuado para todos los niveles y que puedes descargar totalmente gratis.

El tutorial de Python 'Python para todos' se distribuye bajo licencia Creative Commons Reconocimiento 2.5 España, lo que supone que puedes distribuirlo, modificarlo, traducirlo a otros idiomas, ... siempre que indiques el autor original, preferiblemente con un enlace a esta web: Tutorial de Python 'Python para todos'

El libro cuenta con 160 páginas en las que se tratan los siguientes temas:

* Tipos básicos
* Control de flujo
* Funciones
* Orientación a objetos
* Programación funcional
* Excepciones
* Módulos y paquetes
* Entrada / Salida
* Expresiones regulares
* Sockets
* Interacción con webs
* Threads
* Serialización de objetos
* Bases de datos
* Documentación
* Pruebas
* Distribuir aplicaciones Python

Descargar el tutorial de Python 'Python para todos'

Puedes descargar el tutorial de Python 'Python para todos' en formato PDF (1,21 MB) haciendo clic sobre uno de los siguientes enlaces:

DESCARGAR
- Como descargar de SC

Pues es que en verdad existe xD Al ser de google apps uno como administrador tiene la opcion de que cuando alguien mande un correo a loquesea@midominio.com me llegue a un mail determinado por ejemplo mailer-daemon@midominio.com y así se puede leer cualquier mail que se haya mandado a un correo que tecnicamente no existe y ya depende del admin mandar una respuesta automática al que envió diciéndole que el correo está erroneo o no existe o no enviar nada.

La única forma (rústica por cierto) de verificar que exista un correo creo que sería enviar un mail de prueba y esperar por el rebote. xD

Pues si mando un codigo de confirmacion que debe regresar en una url, sin embargo buscaba verificar el email antes de proceder con el registro XD

PD: es posible sacar el pais del visitante mediante alguna funcion?

Vaya, verificar le existencia de un correo... mmm no tengo la más minima idea de como se puede realizar eso, talvez verificar si el domino al que esta ligado, existe, que supongo que eso es lo que estas haciendo, pero lo de verificar una cuenta de correo, que exista el 100% no lo sé... Eso si es aconcejable que realize una expression Regular, para validar esos tipos de datos.

Hola,
Si efectivamente solo valida el dominio despues del @.

Busca en google "validar email con php", te van a salir resultados de exp regulares para validar correos

Si, el confirmar letras+@+letras+.algo ya lo tengo confirmado, el problema es que si pongo "noexisto@elhacker.net" utilizando la "checkdnsrr" me dice que el e-mail es valido, busco la forma de que EN VERDAD exista el correo.

Que opinan sobre

Código (php) [Seleccionar] Expandir

filter_input(INPUT_POST, 'reg_user', FILTER_SANITIZE_SPECIAL_CHARS);
// sera nesesario el filtro de caracteres especiales? yo lo estoy limitando con ctype_alnum()
// antes de enviarlo a la base de datos, sera mejor si uso el filtroo si mezclo ambos?

[GET]

Todos los querys que tengan interaccion con la base de datos, pueden ser inyectados, si no estan filtrados de la formas más correctá, es decir, desde un objeto del formulario, hasta en las peticiones GET y POST.

Oh,

Entonces sera importante usar el filtro FILTER_SANITIZE_SPECIAL_CHARS como indique en un principio?
Yo lo veia sin importancia pero a como eli, sera necesario XD

Agrego:

Código (php) [Seleccionar] Expandir

checkdnsrr(array_pop(explode("@",$formemail)),"MX")
Tengo esa condicion para revisar si el mail existe, sin embargo... creo que esa funcion solo verifica que los registros MX esten habilitados en el dominio que procede despues del arroba.
Habra forma de verificar que el email exista?

Te agradezco tu ayuda la verdad que me has aclarado muchos puntos con tus respuestas.

Con que te refieres a otra forma de inyección SQL?

Alguna otra forma de modificar la db usando los campos de un form.

[iSQL]

Con iSQL, me refiero a Inyección SQL. xD

Ejemplo: Tenemos una sentencia como está

Código (sql) [Seleccionar] Expandir

SELECT * FROM tblPwned (WHERE = 'iSQL--')
Que pasa si ingreso una comilla simple dentro de la cadena a buscar, Veamos.

Código (sql) [Seleccionar] Expandir

SELECT * FROM tblPwned (WHERE = ''iSQL--')
Cierra la comilla inicial, dando paso a la inyeccion de codigo SQL.

:O
Ya veo, entonces para evitarlo habra que anteponr una \ a las comillas que se inserten tal como dicen en el articulo, ya veo ya veo, me esta quedando mas claro ahora

Esa es la unica forma de inyeccion SQL?

[LoadFile()]

Si tu sistema tiene iSQL, cualquier usuario puede ver información de la base de datos, el incluso del sistema LoadFile(), hasta creo que depende de los permisos, se puede llegar a crear un archivo dentro del servidor. Así, que es de completa importacia prevenir eso.

Que es lo que no entiendes de las comillas dobles y simples?

iSQL es el prooverdor de las bases de datos?
En ese caso mi webserver utiliza MySQL por lo que creo estoy "a salvo" XD

Lo de las comillas, mencionan en el articulo que en caso de que una ' (comilla simple) no sea cambiada por \' (diagonal comilla simple) esta podria hacer vulnerable a las inyecciones sql mediante url y scripts. Eso es lo que no me queda muy claro.
Recomiendan usar siempre comillas simples para las consultas que realize a mi base de datos, aqui mi pregunta es, en caso de usar comillas simples, me garantiza una mayor seguridad y proteccion contra inyecciones?

Gracias por tu interes en mi tema

[1.]

1. Mirate en el item de Prevenciòn
    http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_19310-t244090.0.html

Hola,

Gracias por tu respuesta, me pase a leer y me llamo la antencion un tema en partiular:
http://foro.elhacker.net/nivel_web/como_evitar_la_inyeccion_sql-t252384.0.html;msg1219985#msg1219985
No termino de entender eso de las comillas simples/doble comilla

Tambien me pase a leer aqui:
http://informatica-practica.net/solocodigo/index.php/2007/09/06/evitar-inyeccion-sql-ii/ (la proporcionan en el tema anterior) pero tambien me hace bolas eso del remplazo de \' no termino de captar que causa eso y porque es importante el evitarlo :S

Disculpen si suena algo tonto, lo que pasa que voy empezando y aunque lei manuales sql no me avia topado con situaciones asi.

Gracias por sus aportes