Foros del web, para los que viven de bits

varsity21 · 23-may-2008, 09:52

alguien me puede dar algun alcanze de cual seri la configuracion correcta y la mas segura para trabajar con base de datos en cuanto a la configuracion del php.ini, puesto que creo que de ahi parten todos los errores en no saber configurar bien el php.ini.

pateketrueke · 23-may-2008, 10:07

Asi es como manejo yo mi php.ini, pienso que estos son los detalles basicos para PHP...

error_reporting = E_ALL

* primero, mostramos todos los errores y matamos la (in)famosas "comillas magicas"

magic_quotes = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

* esto, es en cuestion de compatibilidad con tus programas (PHP5), mayor seguridad y sobre todo son reglas estrictas... si dominas PHP con estas tres opciones OFF ¡¡seras genial!!!

register_globals = Off
safe_mode = Off
short_tags = Off

* tambien sugiero, bajes una copia del manual de PHP en español.... y configuras el manual en el php.ini

docref_root = "/manual/de/php"
docref_ext = ".html"

* en las variables.... mira EGPCS (Env, Get, Post, Cookie, Server) elige solo las que realmente uses... y en el orden de preferencia, por ej. GP (POST va despues que GET, sobreescribe a GET) y PG es alreves....

variables_order = "GPCS" (por ejemplo, yo NO uso $_ENV....)
register_argc_argv (esta es opcional, pero igual sirve)

* tambien, configura algunos MIME por defecto...

default_mimetype = "text/html"
default_charset = "UTF-8" (yo recomiendo utf8 en lugar de ISO)

* de ahi enfuera... algunas clases necesitan lo siguiente

always_populate_raw_post_data = On
enable_dl = On

* mientras que con lo siguiente, consigues mas por menos....

allow_url_fopen = On
auto_detect_line_endings = On
allow_call_time_pass_reference = Off

GatorV · 23-may-2008, 11:57

Muy buen aporte pateketrueke, deberías agregarlo a las FAQs

IkerPerez · 30-may-2008, 09:22

Poner "allow_url_fopen = On" no lo recomiendo poner si no se va a usar ya que si no eres buen programador pueden atacar tu pagina.

Ejemplo:

<?
echo'Bienvenido a mi web:<br>';
include($_GET[pag]);
?>

En ese ejemplo te pueden inyectar un script malicioso (una webshell por ejemplo).

pateketrueke · 30-may-2008, 10:33

buena aclaracion... pero, si te das cuenta a nadie le importa (a mi si, y mucho) ya ke en este foro... muchos de los que van aprendiendo...

usan register_globals ON y ese.... es el verdadero problema.... tambien, usan indiscriminadamente variables GET/POST sin antes chekearlas con isset().....

en fin.... es cierto, ke deberia estar OFF ... pero ya lo has dicho, para un buen programador esto no es inconveniente.... cierto?

23-may-2008, 09:52	#1 (permalink)
varsity21 Fecha de Ingreso: abril-2008 Mensajes: 26	Forma correcta y segura de configurar php.ini alguien me puede dar algun alcanze de cual seri la configuracion correcta y la mas segura para trabajar con base de datos en cuanto a la configuracion del php.ini, puesto que creo que de ahi parten todos los errores en no saber configurar bien el php.ini.

23-may-2008, 10:07	#2 (permalink)
pateketrueke Fecha de Ingreso: abril-2008 Ubicación: Mexihco-Tenochtitlan Mensajes: 2.003	Respuesta: Forma correcta y segura de configurar php.ini Asi es como manejo yo mi php.ini, pienso que estos son los detalles basicos para PHP... error_reporting = E_ALL * primero, mostramos todos los errores y matamos la (in)famosas "comillas magicas" magic_quotes = Off magic_quotes_runtime = Off magic_quotes_sybase = Off * esto, es en cuestion de compatibilidad con tus programas (PHP5), mayor seguridad y sobre todo son reglas estrictas... si dominas PHP con estas tres opciones OFF ¡¡seras genial!!! register_globals = Off safe_mode = Off short_tags = Off * tambien sugiero, bajes una copia del manual de PHP en español.... y configuras el manual en el php.ini docref_root = "/manual/de/php" docref_ext = ".html" * en las variables.... mira EGPCS (Env, Get, Post, Cookie, Server) elige solo las que realmente uses... y en el orden de preferencia, por ej. GP (POST va despues que GET, sobreescribe a GET) y PG es alreves.... variables_order = "GPCS" (por ejemplo, yo NO uso $_ENV....) register_argc_argv (esta es opcional, pero igual sirve) * tambien, configura algunos MIME por defecto... default_mimetype = "text/html" default_charset = "UTF-8" (yo recomiendo utf8 en lugar de ISO) * de ahi enfuera... algunas clases necesitan lo siguiente always_populate_raw_post_data = On enable_dl = On * mientras que con lo siguiente, consigues mas por menos.... allow_url_fopen = On auto_detect_line_endings = On allow_call_time_pass_reference = Off __________________ == Tiempo por Energía es Igual a Arte == Última edición por pateketrueke; 27-may-2008 a las 23:08.

23-may-2008, 11:57	#3 (permalink)
GatorV Moderador Fecha de Ingreso: mayo-2006 Ubicación: Queretaro, Mexico Mensajes: 12.560	Respuesta: Forma correcta y segura de configurar php.ini Muy buen aporte pateketrueke, deberías agregarlo a las FAQs __________________ Blog Web

30-may-2008, 09:22	#4 (permalink)
IkerPerez (Desactivado) Fecha de Ingreso: mayo-2008 Mensajes: 85	Respuesta: Forma correcta y segura de configurar php.ini Poner "allow_url_fopen = On" no lo recomiendo poner si no se va a usar ya que si no eres buen programador pueden atacar tu pagina. Ejemplo: <? echo'Bienvenido a mi web:<br>'; include($_GET[pag]); ?> En ese ejemplo te pueden inyectar un script malicioso (una webshell por ejemplo).

30-may-2008, 10:33	#5 (permalink)
pateketrueke Fecha de Ingreso: abril-2008 Ubicación: Mexihco-Tenochtitlan Mensajes: 2.003	Respuesta: Forma correcta y segura de configurar php.ini buena aclaracion... pero, si te das cuenta a nadie le importa (a mi si, y mucho) ya ke en este foro... muchos de los que van aprendiendo... usan register_globals ON y ese.... es el verdadero problema.... tambien, usan indiscriminadamente variables GET/POST sin antes chekearlas con isset()..... en fin.... es cierto, ke deberia estar OFF ... pero ya lo has dicho, para un buen programador esto no es inconveniente.... cierto? __________________ == Tiempo por Energía es Igual a Arte ==

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado