03/05/2011, 00:33
| |||
| |||
| como podria mejorar la seguridad en este codigo el titulo lo dice todo ocupo de su ayuda... soy novato en esto de php y apenas se lo basico se poco de seguridad.. queria saber como mejorar la seguridad en este codigo: Código PHP: |
|
03/05/2011, 00:39
| |||
| |||
| Respuesta: como podria mejorar la seguridad en este codigo Ese codigo no tiene huecos de seguridad ya que no se hacen grabaciones a bases de datos ni nada similar. Debes tener cuidado es cuando se graba en la base de datos; hay si tienes que usar la función mysql_real_escape_string sobre el dato que vas a guardar para evitar inyecciones SQL, ejemplo:
Código PHP:
Ver original Igualmente cuando vayas a mostrar (mas no guardar) información desde la base de datos para que no puedan inyectar javascript malicioso en tu pagina debes hacer esto:
Código PHP:
Ver original Hay muchas otras amenazas pero esta son las mas populares y las que no puede dejar pasar por alto. Igualmente siempre es hacer cada tanto copias de seguridad de los archivos y bases de datos que utiliza, Última edición por InKarC; 03/05/2011 a las 00:44 |
|
03/05/2011, 01:25
| ||||
| ||||
| Respuesta: como podria mejorar la seguridad en este codigo Cita: Una pregunta al respecto, cuando haces un mysql_real_escape_string, el resultado lo guardás en una variable y luego hacés la query ??
Iniciado por InKarC  Ese codigo no tiene huecos de seguridad ya que no se hacen grabaciones a bases de datos ni nada similar. Debes tener cuidado es cuando se graba en la base de datos; hay si tienes que usar la función mysql_real_escape_string sobre el dato que vas a guardar para evitar inyecciones SQL, ejemplo:
Código PHP:
Ver original Igualmente cuando vayas a mostrar (mas no guardar) información desde la base de datos para que no puedan inyectar javascript malicioso en tu pagina debes hacer esto:
Código PHP:
Ver original Hay muchas otras amenazas pero esta son las mas populares y las que no puede dejar pasar por alto. Igualmente siempre es hacer cada tanto copias de seguridad de los archivos y bases de datos que utiliza, En cuanto a htmlspecialchars no muestra los caracteres "alterados" ?? Tendré que probarlo :) Gracias !!
__________________ Os iusti meditabitur sapientiam Si te he ayudado, por qué no un poquito de Karma :) ? |
|
03/05/2011, 01:41
| |||
| |||
| Respuesta: como podria mejorar la seguridad en este codigo Cita: Correcto, y en cualquier query que se vaya hacer a la base de datos hay que usarlo.Una pregunta al respecto, cuando haces un mysql_real_escape_string, el resultado lo guardás en una variable y luego hacés la query ?? htmlspecialchars transforma todo los caracteres que son propios del html y los convierte en su version html; o sea que el usuario ve lo mismo que escribio pero no ejecuta, por ejemplo si en la base de datos esta <script>window.document.href = 'http://virusX.tk'</script> eso es exactamente lo que vera el usuario, mas no se ejecuta, ya que el codigo, solo quedaria <script>window.document.href = 'http://virusX.tk'</script> ; htmlspecialchars tiene un segundo parametro para especificar si incluir o no las comillas doble en los caracteres a remplazar y un tercer parametro para seleccionar en que codificacion quiere el resultado (por defecto es ISO-8859-1 que usualmente sirve perfectamente) En la pagina oficial de php puede ver mas info al respecto de esta funcion. |
|
03/05/2011, 01:55
| ||||
| ||||
| Respuesta: como podria mejorar la seguridad en este codigo Cita: Muchísimas gracias por tu aporte. La verdad me va a ser bastante útil porque la primera función que mencionas, sobre mysql, no la conocía, la segunda si, pero no sabía que se implementaba para temas de seguridad :)
Iniciado por InKarC Correcto, y en cualquier query que se vaya hacer a la base de datos hay que usarlo. htmlspecialchars transforma todo los caracteres que son propios del html y los convierte en su version html; o sea que el usuario ve lo mismo que escribio pero no ejecuta, por ejemplo si en la base de datos esta <script>window.document.href = 'http://virusX.tk'</script> eso es exactamente lo que vera el usuario, mas no se ejecuta, ya que el codigo, solo quedaria <script>window.document.href = 'http://virusX.tk'</script> ; htmlspecialchars tiene un segundo parametro para especificar si incluir o no las comillas doble en los caracteres a remplazar y un tercer parametro para seleccionar en que codificacion quiere el resultado (por defecto es ISO-8859-1 que usualmente sirve perfectamente) En la pagina oficial de php puede ver mas info al respecto de esta funcion. un saludo y muchas gracias de nuevo.
__________________ Os iusti meditabitur sapientiam Si te he ayudado, por qué no un poquito de Karma :) ? |
| Etiquetas: |
Este tema le ha gustado a 1 personas 
