PHP max_input_vars expectativas de seguridad

Navega tus respuestas
3

Considerando un sitio que maneja grandes datos de POST , ¿sería irrazonable y peligroso establecer el php.ini max_input_vars en algo así como 100000?

Sé que este es un vector para los ataques de DOS, pero ¿no ayudan otras configuraciones como post_max_size a prevenir eso? ¿Hay alguna forma de protegerse contra las colisiones de hash mientras aún se establece max_input_vars a un valor alto?

Otras consideraciones serían el efecto sobre GET y las cookies. ¿Puede alguien explicar las consecuencias de esta configuración y las vulnerabilidades involucradas?

    
pregunta Travis 31.12.2014 - 17:50
fuente

1 respuesta

3

La vulnerabilidad tiene que ver con las colisiones de hash y no es necesaria sobre el tamaño de la solicitud.

Por lo tanto, sí, establecer la directiva en un valor más alto probablemente no sea una idea inteligente (incluso cuando está limitando el post_max_size o cualquiera de las otras directivas relacionadas).

Además, si necesita configurarlo en 100000, debería reconsiderar lo que está haciendo en la mayoría de los casos.

    
respondido por el PeeHaa 31.12.2014 - 17:52
fuente

Lea otras preguntas en las etiquetas

Período de aplicación de parches recomendado por Microsoft: versión y actualizaciones de parches de seguridad DNSSEC: ¿Es necesario que el algoritmo de la ZSK coincida con el algoritmo de la KSK?