Foros del Web » Programando para Internet » PHP »

Programación segura

Estas en el tema de Programación segura en el foro de PHP en Foros del Web. Buenos, pues, que llevo un rato leyendo posts de código y bastantes, al mirarlo por encima, son, o cuando menos parecen potencialmente inseguros (incluyendo códigos ...
  #1 (permalink)  
Antiguo 02/03/2003, 02:59
 
Fecha de Ingreso: febrero-2002
Ubicación: ¿donde vivo? pues en mi casa, ¿donde voy a vivir?...
Mensajes: 214
Antigüedad: 15 años, 9 meses
Puntos: 0
Programación segura

Buenos, pues, que llevo un rato leyendo posts de código y bastantes, al mirarlo por encima, son, o cuando menos parecen potencialmente inseguros (incluyendo códigos de las faq), no es por tocar las narices ni nada }x), pero ... alguien se anima a hacer un doc/faq/llámaloX de programación segura?.

Yo no quiero ir de experto, pq no lo soi, pero creo q es un tema interesante y necesario y q daria vida al foro x)
__________________
Linux, es para los que odian Microsoft/Windows, BSD, es para los que amamos *IX.
  #2 (permalink)  
Antiguo 02/03/2003, 10:11
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Ese tema se propuso hace un tiempo .. Se comentó que se incluyeran esos "tips" de seguridad en las propias FAQ's como una Faq mas .. Por eso las faq's tienen una estructura tipo:

Tema: .. Seguridad ..

pregunta .. respeuesta ..

Si algun dia tenemos bastante material y sobre todo ganas xDD podríamos clasificar las FAQ's como hacen por ejemplo en el foro de Javascritp (con su enorme trabajooo q lleva).

Si quieres iniciar el tema te animo hacerlo.

Yo por mi parte ya puse en las FAQ's algunos "tips" de seguridad en temas como lo de NO asumir las variables como globales y usar los arrays superglobales $_POST .. etc segun corresponda .. Lo mismo lo indiqué en la FAQ sobre uso básico de sesiones.

Otros "tips" no estan en las FAQs' pero devez en cuando los comento cuando por ejemplo veo un script que hace un proceso de ingresar unos datos (a donde sea . BD.. etc) y muestran un mensaje de "exito/error" en el mismo script q hace el proceso .. Al hacer una recarga de página se solicitan enviar los datos denuevo ocasionando duplicidad de datos (por no decir infinitos duplicados hasta q me aburra de recargar la página ..). Este "tip" se "seguridad" es muyyyyyyy común ...

Otras cosas como por ejemplo mirar el HOST en el REFERER en los scripts de proceso de formuarios o de otras páginas es muy util para eviatar ejecuciones "remotas" de tus scirpts de proceso (todos se acordaran de los famosos form2mail de Melodysoft que todo el mundo lo usaba de otras páginas .. o los envios de SMS de un servicio de otra pagina q todo el mundo lo usaba hasta q se percataron de este problemilla xD .. etc ...)

Otro tip . mas .. todavía quedan algunos scripts/aplicaciones q usan para sus config .. extensiones config.inc .. con el potencial oyooo de seguridad si llamo por el URL a dicho archivo (y por supuesto si no estoy usando algunas directivas de bloqueo en un .htaccess ). Soluciones como cambiar la extension a .php lo solucionan . o moverlo fuera del document_root ..

Esto solo son comentarios .. habria q darles "forma" .. Creo que en las FAQ's sobraría (como veras hay un indice que posteriormente se podría organizar en temas para mejor acceso .. pero esque tenemos a www.faqsdelweb.com que es donde tendrían q estar esas FAQ's .. pero bueno eso es otro tema ..)

Un saludo,
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:41.