Desbordar una cookie devuelve una página de error en PHP

1

Una aplicación PHP que actualmente estoy probando devuelve y página de error cuando el valor de la cookie de sesión se establece como una cadena enorme. Esto lleva a la divulgación de información también. ¿Qué puedo recomendar al desarrollador para evitar la generación de la página de error cuando el valor de la cookie se sobrepasa?

    
pregunta Anonymous Platypus 21.01.2015 - 11:47
fuente

2 respuestas

2

El problema se debe a que la aplicación espera que el valor de la cocinera sea algo sin verificar primero si ese valor es algo para poder salir correctamente si no lo es, y en su lugar termina lanzando una excepción (no controlada).

Lo que el desarrollador debe hacer primero es deshabilitar la visualización de errores en los servidores de producción y, en cambio, simplemente devolver un error 500 con una página de error opcional fácil de usar, o al menos una página en blanco para evitar la divulgación de información.

No creo que haya una necesidad de validar explícitamente el valor de la cookie, esto no es algo que un usuario pueda ingresar y hacer un error tipográfico, por lo que no hay necesidad de validación y una página de error como "cookie no válida", alguien tendría que modificar intencionalmente el valor de esa cookie, en cuyo caso es normal que la aplicación no lo espere y simplemente arroje un error 500, siempre que PHP esté configurado correctamente para no revelar información confidencial sobre el error y, en su lugar, registrarlo.

    
respondido por el user42178 21.01.2015 - 13:04
fuente
1

La aplicación emite un error al exponer información confidencial porque el desarrollador no maneja ese error específico. El desarrollador debe desinfectar los datos o manejar el error que da error HTTP 500. Más información

    
respondido por el Irfan 22.01.2015 - 05:58
fuente

Lea otras preguntas en las etiquetas