Foros del Web » Programando para Internet » PHP »

consideraciones de seguridad?

Estas en el tema de consideraciones de seguridad? en el foro de PHP en Foros del Web. hola maestros alguien me ayuda a que considerar , para tener una buena seguridad en una pag. por ejeplo cuando trabajo con sessiones , puedo ...
  #1 (permalink)  
Antiguo 11/05/2003, 11:07
Avatar de mveraa  
Fecha de Ingreso: diciembre-2002
Ubicación: santiago-chilito
Mensajes: 1.895
Antigüedad: 15 años
Puntos: 2
Pregunta consideraciones de seguridad?

hola maestros alguien me ayuda a que considerar , para tener una buena seguridad en una pag. por ejeplo

cuando trabajo con sessiones , puedo encriptar la session ? , que tan cierto es mejor . ubicar los script dentro de carpetas que en la raiz del directorio..
  #2 (permalink)  
Antiguo 11/05/2003, 13:54
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
La sesion no es necesario que la "encriptes" ... por algo se conservan en el servidor .. Eso sí, si usas un servicios de hotsing con el /tmp (o donde se guarden las sesiones) comun para todos los "servidores virtuales" que tenga ese servidor .. podrías tener algún problema de seguridad .. Pero, todo pasa por la configuración de ese servidor en el que no te dejen acceder a ese directorio fuera de tu sitio (con SAFE MODE se solventan muchos poblemas así ... y algunos otros ajustes) ..

Por lo que respecta a tus "scripst" y carpetas .. No tiene nada que ver a nivel seguridad .. Sólo a nivel de ordenamiento de tu sitio.

Por supuesto .. si tus scripts los guardas como funciones.inc .. por ejemplo .. o usuarios_passwords.txt o usuarios_passwords.dat .. Si yo entro algun directorio de tu servidor sin opcion "Indexes" que me muestre el listado de archivos de ese directorio . .voy a ver facilmente esos archivos .. los voy a "clikear" y voy a ver esos datos o ese código de funciones.inc ...

La solución para eso es bien simple .. llamalos a todos como .php (que sean ejecutables por PHP). Si conoces como funciona PHP .. veras que en esos casos .. si no hay ningun echo " ..." o código que envie salida al navegador no veremos mas que una página en blanco ..

El tema de los .txt .dat con datos .. e incluso los propios códigos que llamas via include() y que contienen funciones/classes .. etc. Deberias tenerlos "FUERA" de tu documment_root, es decir, .. en un servicio de hosting normalmente tienes:

/www/ --> aquí metes tus paginas HTML y PHP ...
/cgi-bin/ --> si dispones de CGIs .. aquí los pones
/stats/ --> estadisticas .. si las dispones ..

Ok, .. sería crear un directorio ahí en tu "raiz" de tu sitio tipo:

/datos-funciones/ .. y guardar ahí todos tus archivos que llamas via include() .. o archivos de datos en texto plano como datos.txt .. etc ...

Luego haces las llamadas a tus "scripts" esos con accesos absolutos: (algo tipo:)

/usuarios/sitios/sitio_tuyo/datos-funciones/

Hay muchos aspectos más de seguridad .. Por ejemplo en el tema de controlar los mensajes de error que dan tus funciones que puedan desvelar rutas de archivos ... De tu programación; como recoges las variabels de session, de cookies, de un formulario (por get o post) .. osese, que si usas los arrays super globales o lo asumes todo como global .. Si haces consultas a una BD .. cuidado con el tema de "SQL inyection" ...de controlar los rangos de los registros que consultas (para no provocar errores si el regsitro no existe ..) etc etc ...

Un saludo,
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 21:13.