/ / Consideraciones de seguridad al guardar las variables http_ * en la base de datos - php, ruby, cookies de sesión

Consideración de seguridad al guardar las variables http_ * en la base de datos - php, ruby, cookies de sesión

Como desarrollador web, ¿es peligroso almacenar la cookie del cliente (HTTP_COOKIE) y cualquier otra variable HTTP_ * en la base de datos?

Ejemplo para el contenido de la cookie:

PHPSESSID = 49g8iequfgjf5h9rjne88nqfs1; estante.session = BAh7CUkiD3Nlc3Npb25faWQGOgZFVEkiRTUyYzBhZTYyYmY2ZjI5OWVmZjM3% 0ANzk3NTA5MWQ1OTVjNTBkYjIzZDIwZmJlMzc2MGI5ODllYzU0NDQyMjkxMDQG% 0AOwBGSSINdHJhY2tpbmcGOwBGewhJIhRIVFRQX1VTRVJfQUdFTlQGOwBUSSIt% 0AMGNkYzFiOWRVlKrM2E4MWM0MTdmMWFkNDcwMGQxODBjM2Q4N2NhZQY7AEZJ% 0AIhlIVFRQX0FDQ0VQVF9FTkNPRElORwY7AFRJIi1lZDJiM2NhOTBhNGU3MjM0% 0AMDIzNjdhMWQxN2M4YjI4MzkyODQyMzk4BjsARkkiGUhUVFBfQUNDRVBUX0xB% 0ATkdVQUdFBjsAVEkibTVuZWFlOTcxNDkyOTM4YzJkY8923mIxZGRjOGQ3ZWMz% 0AMTk2MDM3ZGEGOwBGSSIKcHJvZGkGOwBGWwZ7BzoHaWRpEzoJbmFtZUkiCEhD% 0ASQY7AFRJIgljc3JmBjsARkkiRTFmN2M4NzVjZDQ2ZWMwNWM2YmM2MjU2MWMw% 0AZWI2NzU1Y2Y1NTQ2OWY1NmIyNmM3NGNjMWZhNjhhMjg3NDVhNTQGOwBG% 0AN

Respuestas

1 para la respuesta № 1

Todo lo que se obtiene de una cookie o de la HTTPsolicitud debe ser tratada como entrada de usuario y no de confianza. Si se vuelve a almacenar en la base de datos, use una declaración preparada y evite concatenar las variables en el SQL.

En PHP, el uso de session_id() Es preferible leer la cookie cruda para obtener el ID de sesión. Si el nombre de la sesión es diferente del predeterminado, la cookie no será nombrada PHPSESSID.

preguntas relacionadas

parámetros de usuario de Symfony desde un punto de vista de seguridad - symfony1
cakephp, la sesión no funciona a menos que se permita una cookie en el navegador: sesión, cakephp, cookies
Obtención de un objeto de sesión seguro de una página no segura en ASP - session, ssl, asp-classic, iis-6, iis-7.5
Seguridad de las redes de entrega de contenido: seguridad, cookies, cdn, google-cdn, microsoft-cdn
Rails: ¿Ventajas de almacenar sesión en base de datos? - ruby, session, ruby-on-rails-3
RailsTutorial.org Ejercicio 9.6.2: uso de sesión en lugar de cookies para el inicio de sesión del usuario: ruby-on-rails, sesión
¿Dónde se almacenan los objetos y las variables de Rails? ¿Se les permite a los usuarios acceder a ellos? [cerrado] - ruby-on-rails, ruby, seguridad
Cómo establecer la fecha de caducidad de una sesión de Rails: ruby-on-rails, session, cookies, ruby-on-rails-4
Formulario PHP para iniciar sesión en la aplicación Flash - php, flex, login
La autenticación de usuarios con sesiones vence después de que el usuario cierra el navegador? - php, sesión
Alternativa al uso de variables de sesión para la autenticación: php, sesión, autenticación
PHP - alternativa a la entrada oculta html - php, html, formularios, ocultos
Usando una combinación de SESSION Vars y COOKIE Vars en PHP - php, session, variables, cookies
¿Problema de sesión con dos aplicaciones en el mismo servidor? - php, sesión, sesión-estado
PHP Fecha de ahorro (buenas prácticas) [cerrado] - php
Cómo destruir la sesión y las cookies en el navegador cerca de los carriles 4 - jquery, ruby, ruby-on-rails-4
¿Cuál es el beneficio de Cookie sobre el almacenamiento del lado del servidor? - http, cookies
Motor de expresiones: ¿Por qué el identificador de sesión es parte de la URL?
¿Cómo guardo una cookie durante una sesión? - Django
¿Cómo puedo usar ASP.NET MVC (o Core) para detectar y redirigir sesiones sin cookies? - asp.net, asp.net-mvc, cookies, asp.net-web-api, owin